Quell-Tag und/oder Verbindungs-Quelle Station notwendig?

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

Antworten
rrr
Beiträge: 101
Registriert: 06 Okt 2007, 01:10

Quell-Tag und/oder Verbindungs-Quelle Station notwendig?

Beitrag von rrr »

Ich habe bislang bei jeder Firewallregel immer sowohl das Quell-Tag, als auch eine Station (Interface) als Verbindungsquelle angegeben.

Z.b. so:

Code: Alles auswählen

Name                 Prot.   Source    Destination              Action              Linked     Prio   Firewall-Rule  VPN-Rule   Stateful  Src-Tag    Rtg-tag  Comment        
==================================----------------------------------------------------------------------------------------------------------------------------------
20>10_ALLOW-SYSLOG    ANY    %LSYS     SYSLOG %A192.168.10.90   ACCEPT              No         200    Yes            No         Yes       20         10
Da die Liste der Firewallregeln nun etwas lang wird frage ich mich, ob das unbedingt notwendig ist.

Falls also als Quelle das gesamte VLAN/Interface adressiert wird, ist es aus Sicherheitsgründen sinnvoll weiterhin beide Felder zu setzen, oder reicht eines von beiden? Und gilt dies auch für die IPv6-Firewall?
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Quell-Tag und/oder Verbindungs-Quelle Station notwendig?

Beitrag von backslash »

Hi rrr,

die Quelle lokales Netz "sys" bedingt zunächst nur, daß die Firewall das LAN-Interface, das VLAN und das Netzwerk (Adresse/Netzmaske) prüft, nicht aber das Routing-Tag des Netztes. Das Quell-Tag ist eine weitere Bedingung für den Match der Regel.

Da einem Paket beim Empfang auf einem ARF-Netz auch das Tag des Netzes zugewiesen wird, würde die Regel NICHT matchen, wenn sich das Tag des ARF-Netzes und das Quell-Tag der Regel unterscheiden. Somit kannst du es in deinem Beispiel eigentlich auch weglassen.

Da das Quell-Tag nur eine weitere Bedingung für den Match der Regel ist, werden durch das Setzen des Tags keine zusätzlichen Regeln erzeugt. Somit ist es letztendlich dir Überlassen, was du für sinnvoller erachtest.

Gruß
Backslash
Antworten