Zwei OpenWRT Netzwerke verbinden, aber nur bestimmte Verbindungen zulassen

Ok, also nachdem was ich nun getestet habe kann ich die "config defaults" an erster Stelle lassen. Diese kommt nur zur Geltung, wenn keine der Regeln die unterhalb davon definiert sind zutreffen. Damit wäre die Aussage "die Firewall arbeitet die Regeln von oben nach unten ab und nutzt die erste zutreffende Regel" aber eindeutig falsch.
 
Mitec schrieb:
Frage: Ist es üblich, die Default Regel an erster Stelle zu platzieren, und dann die eigenen Regeln darunter. Oder ist es üblich, die Default Regel am Ende zu platzieren und die eigenen Regeln davor? Was ist aus Sicht der Sicherheit besser?
Zum Vergrößern anklicken....
Antwort: Kommt darauf an... 🤷‍♂️

Mitec schrieb:
Merke: Zum einen lernte ich, es wird von oben nach unten abgearbeitet, dann wird aber gesagt, die erste Regel wird zuletzt angewendet!
Zum Vergrößern anklicken....
Die "erste" Regel, oder die "Default"-Regel? Riesiger Unterschied... 🙃

Mitec schrieb:
Damit wäre die Aussage "die Firewall arbeitet die Regeln von oben nach unten ab und nutzt die erste zutreffende Regel" aber eindeutig falsch.
Zum Vergrößern anklicken....
Jain... denn wenn die Default-Regeln zwar "zuerst" angezeigt werden, aber dann in der Umsetzung nur "zuletzt" berücksichtigt werden, behält das ganze schon seine Gültigkeit.
Mitec schrieb:
Aber, die Default Regeln am Anfang verhindern ja, dass man Abweichungen konfigurieren kann, da diese als erstes angewendet werde.
Zum Vergrößern anklicken....
"Ist" dem auch so? Falls dem so ist, sollte man sich dann schon sehr genau überlegen, was man dort anlegt. Wenn man mal auf 100+ Netze rechnet und alle dürften ins Internet, macht sowas ja durchaus Sinn. Bei Deinem kleinen Setup würde ich mir eher überlegen, ob man nicht einfach komplett auf sowas wie Default-Regeln verzichtet. Das ist dann vielleicht auch nicht ganz so verwirrend für den Einstieg.
 
Wie gesagt, um die ggf. System-spezifischen Dinge einfach mal links liegen zu lassen - einfach ohne irgendwelche Default-Regeln rangehen, dann sollte es auch keine Unklarheiten geben. Normalerweise kommen dann - je nach System - halt noch div. Eigenheiten dazu.
 
Mitec schrieb:
Aber, die Default Regeln am Anfang verhindern ja, dass man Abweichungen konfigurieren kann, da diese als erstes angewendet werde. Ich habe doch gelernt, dass die Firewall Regeln von oben nach unten abgearbeitet werden.
Zum Vergrößern anklicken....
Das ist für die Regeln korrekt. Aber warum vermischt Du Zonen-Konfiguration und die Traffic Rules?!
 
"config defaults" ist eher eine generische "config zone".
Die "config defaults" sind kein "config rule" Eintrag. Für die "config rule" Einträge gilt "von oben nach unten".
 
Mitec schrieb:
Moment, du sagst nun, dass die default-Regeln in der Datei firewall nicht in die Firewall eingreifen?
Zum Vergrößern anklicken....
Bis auf das "Forwarding" greift zumindest bei mir nichts davon. Dessen Wirkung siehst du dort unterhalb der Ziel-Zonen mit einer schwarzen Box die "[Wert von Forwarding] all others" anzeigt. Nur bei der "wan" Zone steht es da ohne "all others".

Diese greift immer dann, wenn man von einer Zone auf ein Netzwerk will, dass nicht als Zonen-Ziel konfiguriert ist.

Ich vermute, dass die Default-Einstellung dann greift, wenn ein Netzwerk keiner Firewall Zone zugeordnet ist. Dann gibt es natürlich auch keine Zonen-Regel, die es überschreiben könnte. Bei mir gibt es kein Netzwerk was keiner Firewall Zone zugeordnet ist. Mir fehlt auch die Fantasie, warum man ein Netzwerk ohne Firewall Zone haben wollen würde.
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Zurzeit aktive Besucher

Gesamt: 154 (Mitglieder: 9, Gäste: 145)

Neueste Beiträge

Letzte Anleitungen

Statistik des Forums

Themen
6.308
Beiträge
60.925
Mitglieder
6.432
Neuestes Mitglied
toshrtg

Teilen

Zurück
Oben