Firewall-Frage

[ecox]

Servus @ all,

gegeben ist:
1x INTRANET (VLAN 0, ARF 0) 172.16.10.0/29
1x WORKSTATIONS (VLAN 0, ARF 40) 172.16.10.0/28
1x Default Route ins WAN (Rtg.-Tag 0)

Wie soll nun eine Firewall Regel aussehen, die mir erlaubt, aus dem ARF 40 in das INTRANET zu gelangen über LAN Tx.
Alle meine Versuche sind gescheitert das zu realisieren.
Ein Quell-Tag 40 ist klar, aber da ich maskieren muss, trage ich ja explizit die 65535 als Rtg-Tag ein, aber im IP-Router Trace sieht man das er stets das Rtg.-Tag 0 nimmt (WAN Tx), das wird so natürlich nichts.

Von ARF zu ARF funktionieren diese Regeln, da da nichts auf 0 Matched, wenn zB von 40 <-> 20 ARF...

Kann mir da jemand helfen?

Grüße
ecox

[ecox]

Eben nochmal Regel wie gehabt erstellt, geht...kein Plan ob es an der 10.20 RC liegt...

[backslash]

Hi ecox,

du mußt eine Regel erstellen, die den Traffic vom Netz WORKSTATIONS ins Netz INTRANET einerseits zuläßt und andererseits umtaggt. Das Problem dabei ist, daß das Tag 0 in Firewall-Regeln eine Sonderrolle hat: es bedeutet, daß etwaig vorhandene Tags nicht geändert werden. Um die Zuweisung des Tag 0 zu erzwingen mußt du in der Regel stattdessen 65535 verwenden:

Code: Alles auswählen

Routing-Tag: 65535
Aktion:      übertragen
Quelle;      lokales Netz WORKSTATIONS
Ziel:        lokales Netz INTRANET
Dienste:     alle Dienste

Eine Regel für den umgekehrten Zugriff ist nicht nötig, daß das Tag 0 im ARF-Kontext ebenfalls eine spezielle Rolle spielt: ein ARF-Netz mit dem Tag 0 ist "Supervisor" und kann somit alle anderen ARF-Netze sehen

Gruß
Backlsash

[ecox]

Danke backslash für die Antwort aber das weiß ich alles, das muss an der 10.20 RC1 gelegen haben, denn mit der darauf folgenden Beta war wieder alles gut, das war ein Fehlverhalten der FW, sie hat es einfach nicht über das LAN, trotz 65535 raus gehauen, erst nach neuen Regel erzeugen, Firewall ein/aus ging es...

Grüße