[fli4l] Firewall: Logik in?==?utf-8?Q? Abfolge der Regeln

[Peter Schiefer]

Hallo Klaus,

Am Tue, 12 Feb 2019 13:53:01 +0100 schrieb K. Dreier:

> möchte fragen zum sichergehen:
> PF_FORWARD[1]='IP_NET_2 IP_NET_3 REJECT'
> PF_FORWARD{2]='IP_NET_2 ACCEPT'
> 
> Regel 1 verbietet NET_2 den Zugriff auf NET_3.
> Regel 2 erlaubt den Zugriff von NET_2 _nur_ auf alles andere (z.B.
> NET_4), nicht aber auch - doch wieder - auf NET_3. Ist das so richtig?

korrekt - der Paketfilter wird von oben nach unten abgearbeitet.
Zur Kontrolle kannst Du dein obigen Regeln via
iptables -nvL FORWARD-middle auf dem fli4l ansehen.
> 
> Wenn dem so ist, dann wäre Obiges insofern der korrekte Weg, um z.B.
> einem VLAN den Zugriff auf ein anderes VLAN zu verbieten, richtig? Denn
> ich brauche schliesslich ja noch ein z.B. IP_NET_2 ACCEPT, um diesem
> Netz ultimativ den Zugang ins WAN zu ermöglichen.

Gruß Peter

P.S. ich habe das eben auch auf meinem fli4l kontrolliert.