[Solved] Kurze Verständnisfrage Source bei Firewall-Regeln

[meschmesch]

Hallo,
bei der Erstellung von Firewall-Regeln habe ich üblicherweise z.B. beim LAN-Interface als Source * stehen, da ja lle Geräte im LAN unter die Regel fallen. Was bringt mir hier explizit als Source "LAN NET" anzugeben?

Danke für die Klarstellung!

[chemlud]

Falls du restriktiv auf deinem LAN nur einzelne Ports freigibst würde die Regel dann audrücklich nur für das dortige Subnetz (die Subnetze auf dem Interface) gelten und nicht für ein Gerät mit IP ausserhalb dieses Netzes.

[meschmesch]

Aber genau das verstehe ich nicht. Am LAN Interface liegt genau ein Netzwerk an, nämlich LAN z.B. 192.168.10.0/24. Woher soll jetzt also die andere IP kommen? Dann müsste ja quasi ein Rechner am gleichen Interface hängen und (woher auch immer) eine andere IP haben, die nicht aus dem eigentlich zugedachten Subnetz stammt?

[mace]

Hallo,

* any = alle IP Adressen
LAN net = das Netzwerk auf dem LAN interface
wenn LAN net als Source angegeben wird muss das auch explizit die Quelle sein

Beispiel:

auf dem LAN interface 192.168.10.1/24
Rechner 1 hat IP 192.168.10.54/24 (dhcp vom LAN)
Rechner 2 hat IP 192.168.50.44/24 (Statische IP)
bei (* any) trifft das auf Rechner 1 und Rechner 2 zu
bei (LAN net) nur auf Rechner 1

[chemlud]

...oder irgendein Kasper hängt einen Rechner in dein LAN mit einer statischen 10.0.0.72 und Gateway 192.168.10.1, der kommt nicht in's Kindernetz mit LANnet, mit * halt schon...

[meschmesch]

...wobei wenn der Kasper sich doof stellt und einfach das meist voreingestellte DHCP verwendet, bekommt er ohnehin automatisch die IP aus dem richtigen Subnetz. Insofern fehlt mir im Moment noch die Phantasie, warum ich jetzt alle Regeln von * auf xxxNET setzen sollte 

[chemlud]

Per MAC-Reservierung DHCP einschränken und "Enable static ARP". Ruhe im Karton, bis der Kasper eine valide MAC ausgekaspert hat, die aktuell nicht aktiv ist (sonst IP-Kollision). Aber wenn er das schafft, hat er auch das Internet verdient, meine ich...

[JeGr]

> ...wobei wenn der Kasper sich doof stellt und einfach das meist voreingestellte DHCP verwendet, bekommt er ohnehin automatisch die IP aus dem richtigen Subnetz. Insofern fehlt mir im Moment noch die Phantasie, warum ich jetzt alle Regeln von * auf xxxNET setzen sollte 

Weil man wie Chemlud richtig schreibt es immer mal haben kann, dass Fremdgeräte mit falscher IP sich in einem Netzabschnitt breit machen. DHCP klappt nicht - dann hast du APIPA Bereich mit 169.x.x.x. Wird normalerweise nicht geroutet, aber schon hast du ne falsche Adresse. Laptop war irgendwo mit und hat ne statische Adresse konfiguriert bekommen etc etc.

Es hat seinen Grund, warum man das auf logisch sinnvolle Adressen einschränken sollte
Gleiches Prinzip wie Bogons - sind IPs die nicht vorkommen sollten, also lass ich sie nicht rein. Genauso gibts IPs die innen nichts zu suchen haben, also lass ich sie eben nicht raus

Cheers