Inter-LAN-Routing auf eine Richtung beschränken? (2960/3900)
Oftmals möchte man den Zugriff zwischen mehreren internen Netzen ermöglichen, möchte aber, dass der Verbindungsaufbau nur von einem Subnetz initialisiert werden darf, oder das der Zugriff nur auf bestimmte Ressourcen im Zielnetz möglich ist.
1.) Damit der Zugriff zwischen den internen Netzen grundlegend funktioniert, erstellt man einen entsprechenden Eintrag im Menü „LAN/General Setup/Inter-LAN Route“
In diesem Beispiel wird der gegenseitige Zugriff zwischen LAN1 und LAN3 erlaubt.
2.) Möchte man den Vollzugriff zwischen den beiden Subnetzen einschränken, erstellen Sie Firewall-Regeln, die Verbindungen erlauben oder blocken.
2a.) Hier ein Beispiel, das den Verbindungsaufbau von LAN3 zu LAN1 verbietet.
In diesem einfachen Fall, läßt sich die Regel nur durch die Angabe Input-/Output-Interface umsetzen. Natürlich hätte man auch die Möglichkeit (wie im DrayOS) dies über Source- und Destination-IP zu lösen.
2b.) Oder man erlaubt den Verbindungsaufbau von LAN1 zu LAN3 und verbietet in einer folgenden Regel „den Rest“. (was bei mehreren Firewall-Regeln übersichtlicher wird)
 |
 |
2c.) Als erlaubtes Ziel kann natürlich auch anstatt des Subnetz nur eine einzelne IP oder IP-Bereich angegeben werden. (z.B. das Single-Address-Object „server“)
