Hi dMatschek
der Trace sagt dir, daß das Paket zwar adreßmäßig auf die Regel NET-XX-BLOCK2INT gematcht hat, die Zielroute aber auf das Interface "INTERNET" zeigt, weshalb die Regel nicht greift die nächste Regel gesucht wird.
192.186.4.163 liegt zwar adreßmässig im Netz NET-04 (weshalb die Regel adreßmäßig matcht), da das Paket aber über NET-12 mit Routing-Tag 12 empfangen wurde, greift auch die Routing-Tabelle für Tag 12. In dieser steht das Netz NET-04 aber gar nicht drin (denn es hat ja das Routing-Tag 4). Also greift in dieser Routing-Tabelle die Default-Route mit Routing-Tag 0 - und die zeigt bei dir auf "INTERNET". Da du in der Regel als Ziel "%L" angegeben hast, sind die Zielnetze auch mit den zugehörigen Zielinterfaces verküpft (bei 192.186.4.163 alos NET-04). Genau deshalb matcht die Regel am Ende nicht und dass soll dir
Code: Alles auswählen
bad gateway: INTERNET does not match NET-04
test next filter (no matching route for 192.168.4.163@12)
auch sagen. Da stehen alle Informationen drin: Die Zielroute des Pakets ist INTERNET, das erwartete Zielinterface der Regel war NET-04, das Paket wurde mit Routing-Tag 12 empfangen
Ich hatte erwartet mit folgender Firewall-Regel das generelle Routing zwischen der 12 und den anderen internen Netzen zu unterbinden:
Die Regel ist überflüssig, weil die Trennung bereits über die Routing-Tags erfolgt (ließ dir dazu sie Sichtbarkeitsregeln für ARF durch).
Viel wichtiger wäre, daß du die Sperr-Routen für private Netze aktivierst, denn sonst geht das Paket zum Internet-Provider und der weiss dann, daß du lokal mindestens das Netz 192.186.4.x hast - und wenn jemand aus NET-04 eine Adresse aus NET-12 anspricht, dann kennt der Provider auch das 192.186.12.x-Netz
Ich war nie ein Freund davon die Sperr-Routen für private Netze zu deaktivieren, aber dem Support war es zu viele Kunden die damit (angeblich) ein Problem hatten. Also wurden Sperr-Routen deaktiviert und nun verthält sich ein LANCOM
im Auslieferungszustand genaugenommen nicht mehr RFC-konform und sendet Pakete mit privaten Zieladressen ins Internet...
Gruß
Backslash