let out anything from firewall host itself (force gw)

[mlabenda]

Hallo Zusammen

Setup
Alix APU 4d4

igb0=lan 192.168.185.249/24
igb1=Crew 192.168.2.0/24
igb2=WAN Failover DHCP
igb3=WAN DHCP

igb2 und igb3 sind in eine GW Group als Failover.

Den Router, welcher an igb3 hängt, kann ich per http reichen.

Die Router / webserver an igb1 und igb2 nicht, trotz passender Regeln

Der Firewall selber kommt per Prob probe drauf.

ARP Table
92.168.178.182   00:0d:b9:5e:37:73   PC Engines GmbH   igb3   WAN   
192.168.178.1   dc:39:6f:e6:5f:0c   AVM Audiovisuelles Marketing und Computersysteme GmbH   igb3   WAN   
192.168.0.142   00:0d:b9:5e:37:72   PC Engines GmbH   igb2   FAILOVER   
192.168.0.1   04:4a:6c:21:19:1d   HUAWEI TECHNOLOGIES CO.,LTD   igb2   FAILOVER   
192.168.2.10   00:0d:b9:5e:37:71   PC Engines GmbH   igb1   CREW   
192.168.185.246   d8:9e:f3:7e:9c:7d   Dell Inc.   igb0   LAN   
192.168.185.249   00:0d:b9:5e:37:70   PC Engines GmbH   igb0   LAN   
192.168.185.201   d8:9e:f3:7e:9c:7d   Dell Inc.   igb0   LAN   DESKTOP-0F2VSO8

Port Probe

# /usr/bin/nc -v -w 10 -z  -4 '192.168.0.1' '80'
Connection to 192.168.0.1 80 port [tcp/http] succeeded!

# /usr/bin/nc -v -w 10 -z  -4 '192.168.178.1' '80'
Connection to 192.168.178.1 80 port [tcp/http] succeeded!

Routen
pv4   default   192.168.178.1   UGS   NaN   1500   igb3   WAN       
ipv4   1.1.1.1   192.168.0.1   UGHS   NaN   1500   igb2   FAILOVER       
ipv4   8.8.8.8   192.168.178.1   UGHS   NaN   1500   igb3   WAN       
ipv4   127.0.0.1   link#5   UH   NaN   16384   lo0   Loopback       
ipv4   192.168.0.0/24   link#3   U   NaN   1500   igb2   FAILOVER       
ipv4   192.168.0.1   192.168.0.1   UGHS   NaN   1500   igb2   FAILOVER       
ipv4   192.168.0.142   link#3   UHS   NaN   16384   lo0   Loopback       
ipv4   192.168.2.0/24   link#2   U   NaN   1500   igb1   CREW       
ipv4   192.168.2.10   link#2   UHS   NaN   16384   lo0   Loopback       
ipv4   192.168.178.0/24   link#4   U   NaN   1500   igb3   WAN       
ipv4   192.168.178.1   192.168.178.1   UGHS   NaN   1500   igb3   WAN       
ipv4   192.168.178.182   link#4   UHS   NaN   16384   lo0   Loopback       
ipv4   192.168.185.0/24   link#1   U   NaN   1500   igb0   LAN       
ipv4   192.168.185.249   link#1   UHS   NaN   16384   lo0   Loopback       
ipv4   208.67.222.222   192.168.0.1   UGHS   NaN   1500   igb2   FAILOVER   

Disable Force Gateway ist aktiv, trotzdem bekommen ich

let out anything from firewall host itself (force gw) in den Logs, wenn ich auf host's in den Netzen auf igb1 und igb2 kommen will

Woran kann das liegen,

[mlabenda]

OK ich antworte mir mal selber 

wenn ich das Gateway der LAN Regeln wir auf Default setze und nicht auf die Gateway Group geht es.
Dies schein ein Problem mit den Gataway Gruppen zu sein

[JeGr]

> Dies schein ein Problem mit den Gataway Gruppen zu sein

Nein, das ist eher ein Verständnisproblem. Wenn einer Regel ein GW zugeordnet wird und der match auf diese Regel passt wird er angewendet EGAL WAS passiert. Wenn du also eine Failover GW Gruppe hast, dann wird auch das Paket DA RAUS geschoben. Wenn du aber eigentlich von einem IF zum anderen willst (bspw. LAN1 zu LAN2) OHNE ins Internet zu wollen, dann matcht eine any-regel bspw. eben trotzdem und pusht das Paket zum WAN raus, statt es zu LAN zu lassen.

Korrektes Doing in dem Fall:

* Regel die Traffic von LAN1->LAN2 erlaubt mit normalen Default(*) GW
* Regel die WAN Traffic schubst danach -> mit FO GW

Dann passt alles und der Traffic intern läuft durch die default routing table und alles was raus soll wird über die FO GW Gruppe erledigt