blurrrr
Well-known member
Im Hinblick auf die Zukunft, wäre ggf. nicht verkehrt, wenn Du direkt eine Regel mit Verbot zu sämtlichen privaten IP-Adressen (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) anlegst. Ich weiss nicht, ob Du bei Dir auch Netze gruppieren kannst, aber falls dem so ist, mach Dir einfach eine Gruppe z.B. names RFC1918 und da packst Du die 3 Netzdefinitionen rein. Dann musst Du später auch nicht nacharbeiten, falls noch weitere interne Netze dazu kommen sollten.Regel A besagt du darfst überall hin, nur nicht ins Lan- Netzwerk.
Das würde dann vom Regelset so aussehen:
1) Ziel-Host (intern) erlauben
2) RFC1918 blockieren
3) Rest erlauben
Wenn es nur um den Zugriff auf einen bestimmten Host geht, ist es noch kürzer:
1) Ziel-Host (intern) erlauben
2) Rest blockieren