Zwei OpenWRT Netzwerke verbinden, aber nur bestimmte Verbindungen zulassen

[Mitec]

Hallo Leute!

Ich habe mir mein "Hauptnetz" mit Internet auf einem OpenWRT Router eingerichtet.
Dann habe ich noch einen zweiten OpenWRT Router für "Heimnetz". Da ist ein Home Assistant dran und ein paar Kameras.
Nun soll "Heimnetz" mit dem Hauptnetz verbunden werden, erst über WIFI zum testen, später direkt über LAN.
Es sollen aber nur bestimmte Verbindungen zugelassen werden, da die Tapo Cameras zu viele Daten ins Internet senden (auch wenn alles deaktiviert und lokal eingestellt wir z.b. Amazon Server von der Kamera kontaktiert). Auch möchte ich das gerne kontrollieren können.
Was ich mir vorstelle, wäre evtl. auch ein PiHole auf einem der Router, ich glaube damit kann ich so etwas konfigurieren?

Bevor ich nun starte, bitte ich um eure Meinung dazu, Grüße

 

[Confluencer]

Ich hab auch zwei OpenWRT Router, wobei mein zweiter nur als "dummer" AccessPoint läuft.

Mein Hauptrouter verwaltet mehrere VLAN-Netze. Er hängt an einem Managed Switch, bei dem die einzelnen Ports VLAN-tagged sind.

In der OpenWRT Firewall ist je Netzwerk eine Zone konfiguriert. Zonen die mit "Intra zone forward" auf "accept" konfiguiert sind erlauben dabei uneingeschränkt Traffic zwischen den Netzen. Da wo die "Intra zone forward" auf "drop" bzw. "reject" steht, muss man dann entsprechende "Trafic Rules" definieren, damit der gewünschte Traffic durch kann.

Aber was hat das mit PiHole zu tun? PiHole ist ein DNS-Resolver mit Blacklist funktionalität... Da ist eine andere Baustelle.

 

[Mitec]

Hallo Confluencer. Ein interessantes Setup hast du da. Also, du hast mehrere VLAN-Netze, wenn ich das nun über WIFI machen würde, bräuchte ich für jedes VLAN einen eigenes WIFI? (nur zum verstehen diese Frage).
Da hast in deinem Setup noch einen Managed Switch, ist da auch OpenWRT drauf?
Bei der Firewall bin ich gerade am Anfang, siehe: https://forum.heimnetz.de/threads/openwrt-firewall-grundlagen-warum-forwarding-nach-rejected.6327/
Also ich habe dort verschiedene Zonen, eine nennt sich bei dir Intra? Also heißt so die Schnittstelle? Oder bedeutet das, dass für alle Zeilen, bei denen hinten Forward auf accept steht, diese dann uneingeschränkt in andere Netze kommunizieren dürfen?
Hatte gestern etwas probiert und als erstes mich selbst komplett ausgeschlossen vom Netzwerk, es half nur der Rettungsmodus und SSH.
Zu PiHole, ich hatte geglaubt, dort auch gezielt Netzwerkverbindungen zu erlauben oder verbieten zu können. Dann hätte ich nach und nach die Verbindungen erlaubt, die ich benötige, das war der Plan.

Evtl. kann ich das ja über die Firewall NAT-Regel einstellen, das bestimmte Geräte eben auf das Internet zugreifen dürfen.

 

[Confluencer]

wenn ich das nun über WIFI machen würde, bräuchte ich für jedes VLAN einen eigenes WIFI? (nur zum verstehen diese Frage).

Jein Mit den Boardmitteln von OpenWRT kann ein oder mehrere WLANs einem Netzwerk zugeordnet werden. Das Netzwerk verwendet als Interface eine Netzwerkbrücke, die bereits in ihrem VLAN steckt. Mit OpenWRT kannst Du soviele 2,4Ghz und 5Ghz WLANs aufspannen wie Du brauchst...

Ich verwendende bei mir kabelgebunden VLANs, um die Netzwerke zum AP zu bringen (Stichwort: Gästenetz).

Man könnte mit batman-adv ein erweitertes Mesh aufziehen, , dass dann WLAN und LAN als eine Kollisionsdomäne behandeln kann. Das hab ich mir noch nicht näher angesehen, da ich mit der Variante oben gut fahre. Auf Youtube gibt es dazu ein gutes Video von OneMarcFifty.

Da hast in deinem Setup noch einen Managed Switch, ist da auch OpenWRT drauf?

Da ist kein OpenWRT drauf. Ich hatte jahrelang ein HP Switch, hab es aber jetzt durch ein billiges Managed 2,5Gbps Sodola 8 Port-Switch ersetzt.

Also ich habe dort verschiedene Zonen, eine nennt sich bei dir Intra? Also heißt so die Schnittstelle? Oder bedeutet das, dass für alle Zeilen, bei denen hinten Forward auf accept steht, diese dann uneingeschränkt in andere Netze kommunizieren dürfen?

Ein Screenshot würde helfen

eine nennt sich bei dir Intra?

Nope. Gemeint war in der Zonnen-Tabelle die 4 Spalte mit der Überschrift "Intra zone forward".

bedeutet das, dass für alle Zeilen, bei denen hinten Forward auf accept steht, diese dann uneingeschränkt in andere Netze kommunizieren dürfen?

Genau das bewirkt die Einstellung.

Zu PiHole, ich hatte geglaubt, dort auch gezielt Netzwerkverbindungen zu erlauben oder verbieten zu können. Dann hätte ich nach und nach die Verbindungen erlaubt, die ich benötige, das war der Plan.

Pihole macht nur DNS, das ist keine Firewall. Inhaltlich muss das in OpenWRT unter "Trafic Rules" passieren. Ich selbst verwende bei "intra zone forward" auf den Zonen ein "reject", und erstelle dann "accept forward" regeln (generell verbieten und explizit Verbindungen erlauben). Was ich noch nicht ausprobiert habe, ist in der Zone "intra zone forward" auf "accept" zu stellen und dann ein "drop" bzw. "reject" für forward zu konfigurieren. (generell erlauben und gezielt Verbindungen verbieten).

 

[Mitec]

Nope. Gemeint war in der Zonnen-Tabelle die 4 Spalte mit der Überschrift "Intra zone forward".

Wo ist die Zonen Tabelle? Unten wo Zones steht? Ich habe dort die 4te Spalte mit dem Titel "Forward"

Genau das bewirkt die Einstellung.

Also auch in andere Netzwerke die ich selbst erstellt habe auf dem Gerät? Und auch ins Internet?

Danke für die Hilfe und Erklärung.

 

[Confluencer]

Wo ist die Zonen Tabelle? Unten wo Zones steht? Ich habe dort die 4te Spalte mit dem Titel "Forward"

Wird die Tabelle sein. Ich hab seit heute die 24.10.0 drauf, da heisst die Spalte "intra zone forwarding". Keine Ahnung wie sie unter 23.05.5 oder vorher hieß.

 

[Mitec]

Ok, Danke
Gerade noch gehört: Links die erste Spalte, das ist das Forwarding von einer Zone zu einer Anderen.
Die Forward Einstellungen auf der rechten Seite bedeuten: Forwarding für Netzwerke in (oder innerhalb) der selben Zone.
Werde wegen Hilfe und Tutorials vermutlich noch bei der zwei neusten stabilen Version bleiben.

 

[Confluencer]

Erste Spalte ist von Geräten in Zone zum Router. Zweite vom Router zu Geräten in Zone. Dritte: Weiterleitung von Geräten aus der Zone zu Geräten in den den definierten Zielzonen.

Beispiele:
- DNS - Anfrage von Gerät aus LAN muss INPUT erlauben damit der DNS-Server die Anfrage bekommt, die Antwort vom DNS-Server muss per OUTPUT an das Gerät rausgehen dürfen.
- DHCP: Broadcast-Anfrage von Gerät aus LAN muss via INPUT erlaubt sein, damit der DHCP-Server mitbekommt, dass ein Gerät eine IP-Adresse haben will, die er dann per OUTPUt auch rausgeben können muss.

Es lohnt nicht bei einer alten Version zu bleiben. Die einzige Änderung, die ich wahrgenommen habe zwischen Videos für <23 und 23 ist das die Einstellungen für VLANs jetzt anders aussehen. Beim Sprung auf 24 sieht alles genauso aus wie bei 23.

 

[Mitec]

Ok, dann wundert mich nur noch eines, wenn z.B. ein Gäste-Netz angelegt wird, warum dann die letzte Spalte (bei mir ist das die 4te) auf Reject oder Drop? Wird beim ersten kontaktieren nicht der DNS auf dem Router abgefragt und der gibt dann die IP zurück, damit bei den nächsten Aufrufen direkt ober Forward ohne Umweg des Routers die Seite geladen werden kann? Bedeutet das, dass das Gästenetzwerk immer den Weg zum Web über den Router geht? <Youtube-Verweis moderativ entfernt>
Dort ist für das Gästenetz lediglich Output auf accept. Aber Output ist dann doch das, was vom Router kommt und auf den Router hat das Gästenetz keinen Zugriff. Also Firewall drop, accept, drop, Covered networks: Gast, Forward to destination: wan, Speichern und Anwenden. Dann ist erst mal alles blockiert. Dann Firewall - Traffik Rules
Aber diese werden im Video nur für DHCP und DNS eingerichtet.
Also dann doch, es muss mit jedem Aufruf aus dem Gästenetz dann der Router (DNS?) abgefragt werden, was sonst nur einmal passiert?

Auch wenn nicht alles verstanden wurde, im Video oben und im <Youtube-Verweis moderativ entfernt> wird das sehr gut erklärt wie man das grundsätzlich einrichtet und separiert. Diesen ersten Schritt werde ich nun ausprobieren. Als letztes kommt dann das IoT Netz, bei dem nur ausgewählte Geräte Zugriff auf das Internet bekommen sollen (ein Pi mit Home Assistant und ein anderer Rechner der in diesem Netz ist).

Doch dort ist alles auf einem Router eingerichtet der später mit einem zweiten erweitert wird. Ich habe in einem Stockwerk die IoT Geräte auf einem Router und darüber das Wifi für die Familie. Mal sehen ob das trotzdem geht wie ich es mir vorstelle.

 

[Confluencer]

d beim ersten kontaktieren nicht der DNS auf dem Router abgefragt und der gibt dann die IP zurück, damit bei den nächsten Aufrufen direkt ober Forward ohne Umweg des Routers die Seite geladen werden kann

Für DHCP und DNS gibt es unter den Traffic Rules dafür explizite Freigaben. Da ist kein Forward involviert.

Bedeutet das, dass das Gästenetzwerk immer den Weg zum Web über den Router geht?

Ich bin mir nicht sicher, ob ich dich verstehe. Das Gästenetzwerk kann doch nur über den Router ins Internet. Da beim Ausgang in die WAN-Zone Masquarading stattfindet (aka. NAT), findet hier kein Routing statt.

Auf den Rest antworte ich dann irgendwann am Abend. Erstmal arbeiten

 

[Mitec]

Danke für die Erklärung
Ich werde mich damit noch mehr auseinandersetzen.

Nochmal zur Eingangsfrage. Ich habe nun das Setup etwas näher festgelegt:
Das default-WIFI des OpenWRT Routers wurde aktiviert. SSID ist "IoT", statt Netzwerk "lan" habe ich ein neues Netzwerk "IoT" zugewiesen. Dieses Netzwerk hat kein Internet.
Home Assistant mit RaspberryPi hängt an einem LAN Port und ist im Netzwerk "lan". Hat Internet.
Internet wird über WIFI als Client bezogen. Netzwerk "wwan" (warum nicht lan?)
Der Router an sich ist auch Internet.
Das ist fast was ich wollte, nur hat HomeAssistant nun keine Verbindung zu den Kameras. Und hier frage ich mich nun, ob ich einen DHCP-Server auf dem Netzwerk "IoT" aktivieren soll. Oder ob ich das durchreichen soll bzw. ob das überhaupt geht.
Das wäre super hier weiter zu kommen. Hatte gestern dann so viel verstellt, dass ich den Router zurücksetzen musste.

 

[blurrrr]

Weisste was, vielleicht skizzierst Du das einfach mal... Schnapp Dir einfach mal eine Variante der Vorschläge in diesem Thread und dann skizzierst Du das mal für Dich. "Netzwerke" stellst Du ggf. einfach als Kreise oder Rechtecke dar (so mache ich das i.d.R.). Dabei gehst Du bitte hin und fügst Dir (für "Dich" verständlich!) Vermerke hinzu. Sowas hilft mir zumindestens immer ungemein den Überblick zu behalten.

Grundsätzlich ist es so - ganz egal, wie verschiedene Systeme ticken (automatisch oder nicht), dass Du pro "Netz" normalerweise a) DHCP bereitstellst und b) etwas "netzinternes" bzgl. DHCP. Punkt B "muss" nicht sein, wenn Du irgendwo z.B. zentral einen Pi-Hole-Host laufen hast, kannst Du den natürlich auch via DHCP an die Clients verteilen (solange diese über Routing + entsprechende Firewall-Regeln auch entsprechenden Zugriff haben).

Dieses Netzwerk hat kein Internet.

Aber DHCP mit einem fest zugewiesenen Subnetz?

Internet wird über WIFI als Client bezogen. Netzwerk "wwan" (warum nicht lan?)

Kannst Du machen, aber...

Das ist fast was ich wollte, nur hat HomeAssistant nun keine Verbindung zu den Kameras.

... da wird Dir dann vermutlich die Standard-NAT-Regel einen Strich durch die Rechnung machen. So wie ich das Setup verstanden habe, geht die Verbindung ja über die WAN-Schnittstelle. Die meisten Router haben eine Default-NAT-Regel, welche alles was von innen nach draussen will, mit der WAN-IP maskiert. Taugt also für ein internes Setup schon mal nicht.

Also dann mal wie folgt:

1) NAT bei dem nachgelagerten Router (R2) ausschalten
2) Bei R1 das Netz/die Netze "hinter" R2 eintragen (Netz X via R2-WAN-IP)

Für die Netze hinter R2 gilt das Default-Gateway R2, für R2 gilt das Default-Gateway R1. Wenn Du nicht willst, dass etwas nach "draussen" darf, erlaube in R2 nur den Zugriff auf das vorgelagerte Netz (und ggf. andere Netze hinter R2) und verbiete den Rest.

Natürlich alles nur in der Annahme, dass ich Dich da korrekt verstanden habe

 

[Mitec]

Gute Idee, ich habe hier mal etwas erstellt, im Anhang. Bin nun leider bei R1 und R2 nicht mitgekommen, welcher ist nun der nachgelagerte Router

Also Router 1 hat Internet. Mit Router 2 verbinde ich mich zu Router 1 und beziehe Internet.

An Router 1 würde ich am liebsten nichts ändern. Das mit den NAT-Regeln habe ich noch nicht verstanden.

 

[blurrrr]

Sorry, aus der Skizze werde ich nicht so ganz schlau, ich hatte da eher an sowas in der Richtung gedacht:



Was das NAT angeht... Die Quell-IP eines Paketes wird umgeschrieben. Nehmen wir einfach mal o.g. Netze "B.B.B.B" und "C.C.C.C", der Router "R2" hat in 3 Netzen einen Fuss. "Typisch" (von der Standard-Einstellung her) wäre jetzt z.B. folgendes in Bezug auf Router R2:

Netz 2 -> Netz 3 -> kein NAT
Netz 3 -> Netz 2 -> kein NAT
Netz 2+3 -> WAN -> SNAT (Source-NAT/Quell-NAT)

Das ist eigentlich das typische Setup, wenn man heutzutage SOHO-Router nutzt, keine Ahnung wie OpenWRT das macht, aber zu Gunsten der Nutzerfreundlichkeit (einstöpseln und los geht's) dürfe SNAT wohl aktiviert sein.

Heisst, dass bei Paketen von Netz 2+3, welche über die WAN-Schnittstelle rausgehen, die Quell-IP der Pakete mit der WAN-IP des Routers R2 (z.B. "A.A.A.2") überschrieben wird. Spricht man also z.B. vom HomeAssistant-Host (z.B. "C.C.C.100") den Router R1 intern an (z.B. "A.A.A.1"), erfolgt der Zugriff auf R1 von der WAN-IP von Router 2 (z.B. "A.A.A.2"), zumindestens aus Sicht von Router R1.

Das ist etwas, was nach extern in den meisten Fällen "zwingend" notwendig ist, da Du intern private IP-Adressbereiche verwendest, welche im Internet sowieso direkt verworfen werden. Ergo muss alles, was durch das Netz Deiner Providers geht, von einer öffentlichen IP-Adresse kommen, da ansonsten die anderen Router im Internet nichts damit anfangen können. Zwischen Deinen internen Netzen brauchst Du also auch kein NAT, das gilt eben auch für den Übergang von Netz 2+3 zu Netz1.

Wenn Du kein NAT mehr auf Router R2 hast, kommen die Pakete zu Router R1 "sichtbar" aus den Netzen 2+3. Mit NAT hat Router R1 die Antworten immer an die vermeintliche Quell-IP geschickt, welche auch in seinem Netz lag (eben z.B. "A.A.A.2"). Nun kommen die Pakete allerdings aus den Netzen 2+3. Router R1 kennt diese Netze erstmal nicht und wird deshalb die Antworten an sein Standard-Gateway schicken. Ist natürlich blöd, denn da geht es in Richtung Internet, wo die Pakete sofort verworfen werden. Ergo gibt es keine Antworten. Die Lösung besteht nun darin, dass man Router R1 noch mitteilt, über welche Wege er die Netze 2+3 erreichen kann. Das erreichst Du mittels statischer Routen, welche Du in Router R1 einträgst:

1) Netz "B.B.B.B/24" ist erreichbar über Router "A.A.A.2"
2) Netz "C.C.C.C/24" ist erreichbar über Router "A.A.A.2"

Damit kennt Router R1 auch die Wege zu den anderen internen Netzen und kann bei Anfragen auch die Antworten entsprechend über R2 an die Zielhosts in den Netzen 2+3 schicken.

Hoffe, dass es nun ein bisschen verständlicher ist

 

[Mitec]

Ja. Das sieht wesentlich übersichtlicher aus, mit was kann so etwas denn erstellt werden? Und ja, habe mich damit jetzt auseinandergesetzt und verstehe da schon mehr. Nur komme ich doch gerade vom Netz IoT und von Home Assistant am LAN-Port problemlos ins Internet. Widerspricht das nicht der ganzen Theorie? Es soll ja unterbunden werden, dass vom IoT-Netz Zugriff auf das Internet erfolgen kann. Statt dessen soll von dort Kontakt zum Home Assistant möglich sein. Lese gerade über Netzwerkbrücken.

Gedanke: Das IoT-Netz, früher hat man so etwas vermutlich DMZ genannt? Dann möchte ich doch, das ein Gerät aus der DMZ mit meinem Home Assistant kommunizieren kann. Evtl. ist das verständlicher.

 

[blurrrr]

Nur komme ich doch gerade vom Netz IoT und von Home Assistant am LAN-Port problemlos ins Internet. Widerspricht das nicht der ganzen Theorie?

Wenn Du z.B. eine Regel hast, welche den Zugriff von Netz B.B.B.B/24 auf das Internet (WAN) via Router R1 verbietet (sowas macht man eher nicht, lieber nur erlauben, was zu erlauben ist), ist das alles schön und gut, aber dann "müssen" die Pakete auch aus dem entsprechenden Netz kommen. Hast Du nun aber an Router R2 NAT aktiv, kommen die Pakete bei Router R1 mit der WAN-IP von Router R2 an. Ergo heisst es: Ist ja nicht von Netz B.B.B.B, sondern von A.A.A.2, also ab ins Internet damit.

Das IoT-Netz, früher hat man so etwas vermutlich DMZ genannt?

Nein... völlig falscher Gedanke. Das IoT-Netz soll ja gar keinen Zugriff auf das Intenet haben. Eine DMZ umschreibt eigentlich ein Konstrukt, auf welches von "beiden" Seiten zugegriffen werden kann (extern+intern) und sitzt meist dazwischen. Schau einfach mal hier bei Wikipedia rein (die 2 Bilder rechts). Die große Frage ist halt, wie Du Dir Dein Konstrukt aufbauen möchtest. Schlussendlich muss auch ein HomeAssistant irgendwo ins Internet und Du willst ggf. auch von extern Dein HomeAssistant ansprechen können (ggf. auch direkt, ohne VPN).

Das sieht wesentlich übersichtlicher aus, mit was kann so etwas denn erstellt werden?

Das war nun Visio, kostet allerdings (benötige ich aber beruflich). Gibt aber im zuvor genannten Link auch gute kostenlose Alternativen, z.B. draw.io, etc.

 

[Mitec]

Nun, ich habe die Tage mich versucht mich etwas einzulesen, verstehe aber folgendes noch nicht: Ins Internet gehe ich mit einem Modem (mit integriertem Router). Dieser vergibt an meinen Router 1 eine IP Adresse. Router 1 baut wieder ein ganz anderes Netzwerk auf und hat Geräte dran hängen. Unter anderem ein weiterer Router als AP der auch wieder Geräte dran hängen (wieder anderer Netzwerkbereich). Also drei verschiedene Netzwerke und alle können problemlos ins Internet, ohne das ich irgend eine NAT-Regel selbst eingestellt habe. Brauche ich NAT evtl. nur dann, wenn ich mehrere VLANs auf einem Router konfiguriere?
Das mit der DMZ habe ich nun wieder drin

 

[blurrrr]

Dann wird NAT standardmässig bei allen Routern in Richtung WAN aktiv sein, für rein internen Verkerhr allerdings nicht so schön. Mit dem Thema VLAN hat das übrigens nichts zu tun.

Ins Internet gehe ich mit einem Modem (mit integriertem Router). Dieser vergibt an meinen Router 1 eine IP Adresse.

Die Frage ist hier schon "Was für eine IP?". Öffentliche? Privat? IPv4/6? NAT brauchst Du primär nur beim Übergang zwischen privaten und öffentlichen Netzwerken. Wenn der vorgeschaltete Router an Router 1 z.B. eine öffentliche IP vergibt, benötigst Du NAT an Router 1. Falls dieser aber schon eine private IP bekommt, muss NAT am vorgelagerten Router aktiv sein. NAT ist aber eher ein IPv4-Ding, bei IPv6 bekommen einfach alle öffentliche IP-Adressen.

 

[Mitec]

Danke. Öffentliche IP hat nur das Modem (mit Router). Dieses hat die IP 192.168.1.1, der erste Router hat das Netz 192.168.2.1. der zweite Router hat das Netz 192.168.3.1. Alles IP v4. Auf dem Router 2 befindet sich noch das IoT Netz 192.168.5.1. Das ist alles nicht die finale Einrichtung davor will ich es erst besser verstehen.
Es geht mir noch immer darum, dass ich das IoT Netz komplett blocken will und dann nur bestimmte Verbindungen erlauben möchte. Also PI aus dem lan-Netz soll auf die IoT Cameras zugreifen können. Das werde ich wohl über die Firewall und Regeln verwirklichen.
Apropos Firewall, wenn iptables von oben nach unten arbeitet, und oben sind die default-Regeln definiert, treffen diese dann nicht zu? Ich habe gelesen, die erste passende Regel wird angewendet. Und die default-Regel sollte ja für alle Geräte passen. Somit wird also niemals eine andere Regel zur Geltung kommen. Oder ist das eben nur auf der grafischen Oberfläche an erster Stelle? Vermutlich...

 

[blurrrr]

Öffentliche IP hat nur das Modem (mit Router). Dieses hat die IP 192.168.1.1, der erste Router hat das Netz 192.168.2.1. der zweite Router hat das Netz 192.168.3.1. Alles IP v4. Auf dem Router 2 befindet sich noch das IoT Netz 192.168.5.1. Das ist alles nicht die finale Einrichtung davor will ich es erst besser verstehen.

Es wäre allerdings durchaus sinnvoll, wenn die Router schon so in Reihe geschaltet sind, wie es später aussehen soll. Wenn es "nur" WLAN vs. LAN ist bei der Uplink-Verbindung eines Routers, spielt das erstmal keine Rolle. Die Frage wäre allerdings, ob die 3 Router in Reihe geschaltet, oder beide direkt mit dem ersten Router verbunden sind.

|Router 1|<->|Router 2|<->|Router 3|

vs

|        |<->|Router 2|
|Router 1|
|        |<->|Router 3|

Es geht mir noch immer darum, dass ich das IoT Netz komplett blocken will und dann nur bestimmte Verbindungen erlauben möchte. Also PI aus dem lan-Netz soll auf die IoT Cameras zugreifen können. Das werde ich wohl über die Firewall und Regeln verwirklichen.

Das ist soweit korrekt.

Ich habe gelesen, die erste passende Regel wird angewendet. Und die default-Regel sollte ja für alle Geräte passen. Somit wird also niemals eine andere Regel zur Geltung kommen.

Das ist soweit auch korrekt.

1) Erlaube alles
2) Verbiete XY

XY darf weiterhin alles, erste Regel greift.

1) Erlaube ABC
2) Verbiete alles

XY kann nichts (erste Regle greift nicht, zweite Regel greift -> alles verboten), ABC darf (erste Regel greift)

1) Erlaube XY
2) Erlaube ABC
3) Verbiete alles

ABC + XY dürfen, Rest nicht

1) Erlaube XY
2) Verbiete alles
3) Erlaube ABC

XY darf, ABC nicht (da zuvor die 2. Regel greift -> alles verboten).

Und die default-Regel sollte ja für alle Geräte passen. Somit wird also niemals eine andere Regel zur Geltung kommen.

Nochmal ein Wort dazu... auch wenn Du das in der grafischen Oberfläche machst... Oftmals schreibt man die Regeln auch in der Reihenfolge, in welcher sie in der Chain vorhanden sein sollen. Das wird normalerweise mit der Option "-A" gemacht (hast Du sicherlich auch schon irgendwo gesehen). A steht für "append", womit die Regel "unten" angehangen wird. Alternativ dazu gibt es noch die Option "-I", wobei das I für "insert" steht, da wird dann aber zusätzlich noch eine Nummer angegeben (zwecks Positionsbestimmung innerhalb der vorhandenen Regeln einer Chain). Die Option "-I" braucht man aber eigentlich nur selten, wenn man vorher ordentlich geplant hat.

Heisst kurzum: je Router hinsetzen und überlegen, welche Regeln benötigt werden. Diese erstmal irgendwo aufschreiben, liegen lassen, Nacht drüber schlafen, am nächsten Tag nochmal drüber schauen (ob man auch wirklich nix vergessen hat) und dann setzt man das halt entsprechend um. Wenn Du das sowieso via WebGUI machst, hast Du es nichts mit A und I zu tun, das regelt das System dann schon automatisch für Dich (i.d.R. wird dann auch der Inhalt der Chain gelöscht und komplett neu geschrieben).

Das einzige was "wirklich" wichtig ist, ist der korrekte Aufbau bzgl. der Reihenfolge und das allererste - was immer ganz oben steht - ist die "Sperr Dich nicht selbst aus!"-Regel, heisst übersetzt, dass Du mit der ersten Regel zusiehst, dass Du (Dein Rechner, Dein Netz, wie auch immer) definitiv immer auf die Firewall/den Router (halt die zur Verwaltung benötigten Ports) kommt. Danach kommen noch anderweitige Erlaubnisse und schlussendlich (letzte Regel) wird alles andere verboten.