Empfohlene "nur Internet"-Regel

Started by luck3rhoch3, June 10, 2026, 08:43:23 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
June 10, 2026, 08:43:23 PM
Hi zusammen,

habe bereits mehrere Varianten gesehen um für die jeweiligen Interfaces eine "erlaube alles außer private IP-Adressen"-Regel zu erstellen.

Nur eine Allow-Regel mit invertiertem RFC1918-Destination-Alias zu erstellen würde doch nur IPV4-Verbindungen blocken, oder?

Ich habe aktuell eine IPv4+IPv6-Regel mit invertiertem Destination-Alias, das alle meine Networks enthält, also z. B. __lan_network, __opt1_network_, ___opt2_network, usw. (WAN- und Loop-Interface müssen hier nicht rein, oder?).

Die einzige Gefahr, die ich darin sehe ist, dass sich die Rule nicht bei einem neu hinzukommenden Interface automatisch aktualisiert. Gibt es auch Lösungen die absolut failsafe sind?

Danke :-D
June 10, 2026, 10:36:37 PM #1
Also was für mich gut funktioniert, ist ein RFC1918NET Alias mit folgenden Netzen:
10.0.0.0/8,169.254.0.0/16,172.16.0.0/12,192.168.0.0/16,fc00::/7,fe80::/10

Dann kann z.B. in einem Gäste LAN, mit der Regel "alles außer" erlaubt werden um einen Internet Zugriff zu gewähren, aber den weg in das restliche Netz zu sperren.
Code Select
ACTION   TCP/IP VERSION     PROTOCOL     SOURCE     DESTINATION     PORTS     DESCRIPTION
Pass     IPv4+IPv6          any          LAN net    !RFC1918        any       Allow all Internet
June 11, 2026, 06:42:50 AM #2
Wegen dynamischem IPv6 Präfix bin ich auf eine Firewall Gruppe LOCAL_VLANS mit den entsprechenden Mitgliedern gewechselt.

Das deckt sowohl ULA als auch GUAs lokal ab.
Link-Local dürfte irrelevant sein, da die ja eh nicht geroutet werden.

Aber ja - auch hier müsste ein neues Interface manuell ergänzt werden.
Print
Go Up Pages1
User actions