Virtuelle Router

Die interfaceabhängige Filterung ermöglicht es – zusammen mit dem Policy-based Routing – für jedes Interface virtuelle Router zu definieren.

Beispiel:

Es werden zwei separate IP-Netze verwendet für Entwicklung und Vertrieb. Beide Netze hängen an verschiedenen Switchports, verwenden aber das gleiche Netz '10.1.1.0/255.255.255.0'. Der Vertrieb soll nur ins Internet dürfen, während die Entwicklung auch auf das Netz einer Partnerfirma ('192.168.1.0/255.255.255.0'') zugreifen darf.

Es ergibt sich folgende Routing-Tabelle (dabei hat die Entwicklungsabteilung das Tag 2 und der Vertrieb das Tag 1):

IP-Adresse IP-Netzmaske Rtg-tag Peer-oder-IP Distanz Maskierung Aktiv
192.168.1.0 255.255.255.0 2 PARTNER 0 nein ja
192.168.0.0 255.255.0.0 0 0.0.0.0 0 nein ja
255.255.255.255 0.0.0.0 2 INTERNET 2 ja ja
255.255.255.255 0.0.0.0 1 INTERNET 2 ja ja

Stünden Entwicklung und Vertrieb in IP-Netzen mit unterschiedlichen Adressbereichen, wäre die Zuordnung der Routing-Tags über Firewall-Regeln kein Problem. Da aber beide Abteilungen im gleichen IP-Netz stehen, ist nur eine Zuordnung über die Netzwerknamen möglich.

Die Zuweisung der Tags kann direkt bei der Netzwerk-Definition erfolgen:

Netzwerkname IP-Adresse Netzmaske VLAN-ID Interface Adressprüfung Typ Rtg-Tag
ENTWICKLUNG 10.1.1.1 255.255.255.0 0 LAN-1 streng Intranet 2
VERTRIEB 10.1.1.1 255.255.255.0 0 LAN-2 streng Intranet 1

Alternativ kann die Zuweisung der Tags auch über die Kombination von Netzwerkdefinitionen und Firewallregeln erfolgen. Die Netze sind wie folgt definiert:

Netzwerkname IP-Adresse Netzmaske VLAN-ID Interface Adressprüfung Typ Rtg-Tag
ENTWICKLUNG 10.1.1.1 255.255.255.0 0 LAN-1 streng Intranet 0
VERTRIEB 10.1.1.1 255.255.255.0 0 LAN-2 streng Intranet 0

Dann lassen sich durch die Routing-Tags folgende Firewall-Regeln festlegen:

Name Protokoll Quelle Ziel Aktion verknuepft Prio (...) Rtg-tag
ENTWICKLUNG ANY %Lentwicklung ANYHOST %a ja 255   2
VERTRIEB ANY %Lvertrieb ANYHOST %a ja 255   1

Wichtig bei diesen Regeln ist die maximale Priorität (255), damit die Regeln immer als erstes ausgewertet werden. Damit nun trotz dieser Regeln noch eine Filterung nach Diensten möglich ist, muss die Option "verknuepft" in der Firewall-Regel gesetzt sein.