Hi win,
ich glaub ich muß hier mal etwas Klarheit in die wirren Spekulationen bringen...
Eine Defaultroute mit Tag 0 scheint immer zu greifen, auch für getaggte Pakete.
ja, aber nur, wenn es für das Paket keine getaggte Route gibt. In der Routing-Tabelle ist Tag 0 der Default. (Achtung bei den ARF-Netzen hat 0 eine andere Bedeutung - da ist 0 das Supervisor-Netz)
Auch dann, wenn man eine explizite Defaultroute für z.B. Tag 5 anlegt.
nein! Mit 5 getaggte Pakete laufen über die mit 5 getaggte Route
Folglich müsstest du es wohl so basteln, dass du überhaupt keine Defaultroute mit Tag 0 hast.
nein das ist nicht nötig. Dani99's Regeln aus dem ersten Post sind vollkommen in Ordnung und sollten so funktionieren. Hier stellt sich die Frage warum sie nicht greifen - am Wahrscheinlichsten ist ein Syntaxfehler beim Erstellen der Regeln. Das ließe sich mit einem "show filter" auf dem CLI prüfen. Wenn aus den Regeln die korrekten Fiter erstellt wurden, dann muß "im Betrieb" weiter gesucht werden. So zeigt z.B. ein IP-Router-Trace, welches Tag verwendet wurde (d.h. ob umgetaggt wurde) und wohin die Pakete gesendet werden. Unter /Status/IP-Router/Connection-List kann auf dem CLI nachgeschaut werden, für welche Session welche Regel gegriffen hat.
Wenn für deine Mail eine andere Regel gegriffen hat, dann mußt du mal für das erste Paket der Mail die von "show filter" ausgegebene Filterliste von "oben nach unten" durchgehen und manuell prüfen, werlche Regel als erste greift.
Wenn ich ein Netzwerk mit Tag 1 festlege und dann eine Defaultroute für Tag 1 definiere, flutschen da alle Pakete ins WAN drüber.
ja so soll es sein
Tagge ich nun z.B. die ICMP-Pakete mittels FW-Regel auf Routing-Tag 5 um und habe eine zusätzliche Defaultroute für Tag 5, laufen die auch über diese Defaultroute-5.
auch das ist so korrekt
Definiere ich diese Defaultroute-5 mit dem Ziel 0.0.0.0 (Pakete verwerfen) passiert - oh Wunder - es nicht, dass meine ICMP-Pakete ins Nirvana gehen, sondern die laufen dann über Defaultroute-1. Verrückt...
das passiert aber nur, weil du mit der Regel versucht hast umzutaggen. Da diese Umtag-Regel das Paket in eine Sperr-Route laufen läßt, wertet die Firewall die Regel so, als hätte sie nicht gematcht und sucht die nächste Regel... Wenn du das Paket verwerfen willst, dann darfst du es nicht auf eine Sperr-Route lotsen, sondern muß als Aktion "zurückweisen" oder "verwerfen" in die Firewallregel setzen.
Oder sind Schnittstellen-Tag und Routing-Tag 2 parallel mitgeführte Paket-Markierungen und der Router sagt sich: Wenn der Routing-Tag zu keinem Ziel führt, nehm ich den Schnittstellen-Tag?
nein. Wenn es wirkilch keine Route zum Ziel mit dem Tag gibt, dann wird das Paket auch verworfen.
Über den Sinn der Sonderbehandlung der Sperr-Routen kann man sicherlich streiten, aber sie ist nunmal da...
Gruß
Backslash
