Die Firewall trägt in der Verbindungsliste alle aktuell erlaubten Verbindungen ein. Die Einträge verschwinden nach einer bestimmten Zeit (Timeout) automatisch wieder aus der Verbindungsliste, wenn keine Daten über die Verbindung übertragen werden und den Timeout zurücksetzen.
Manchmal werden die Verbindungen gemäß den allgemeinen Alterungs-Einstellungen beendet, bevor die mit einer Anfrage angeforderten Datenpakete von der Gegenstelle empfangen wurden. In diesem Fall steht möglicherweise in der Verbindungsliste noch ein Eintrag für eine zulässige Verbindung, die Verbindung selbst ist aber nicht mehr vorhanden.
Der Parameter “Sitzungswiederherstellung” bestimmt das Verhalten der Firewall für Pakete, die auf eine ehemalige Verbindung schließen lassen:
- Verbieten: Die Firewall stellt die Sitzung auf keinen Fall wieder her und verwirft das Paket.
- Verbieten für Default-Route: Die Firewall stellt die Sitzung nur wieder her, wenn das Paket nicht über die Default-Route empfangen wurde.
- Verbieten für WAN-Interfaces: Die Firewall stellt die Sitzung nur wieder her, wenn das Paket nicht über eines der WAN-Interfaces empfangen wurde.
- Erlauben: Die Firewall stellt die Verbindung grundsätzlich wieder her, wenn das
Paket zu einer “ehemaligen” Verbindung aus der Verbindungsliste gehört.
Wichtig: Da die Funktion der virtuellen Router auf der Auswertung der Schnittstellen-Tags basiert, müssen neben den ungetaggten Default-Routen auch weitere Routen als "Default-Routen" einbezogen werden:
- Wenn ein Paket auf einem WAN-Interface empfangen wird, dann gilt diese WAN-Schnittstelle für die Firewall als Defaultroute, wenn entweder eine getaggte oder eine ungetaggte Defaultroute auf diese WAN-Schnittstelle verweist.
- Wenn ein Paket auf einem LAN-Interface empfangen wird und auf eine WAN-Schnittstelle geroutet werden soll, dann gilt diese WAN-Schnittstelle als Defaultroute, wenn entweder die ungetaggte Defaultroute oder eine mit dem Interface-Tag getaggte Defaultroute auf diese WAN-Schnittstelle verweist.
Ebenso greifen Defaultrouten-Filter auch, wenn sich die Defaultroute im LAN befindet. Hierbei gilt, dass der Filter dann greift, wenn
- ein Paket über ein getaggtes LAN-Interface empfangen wurde und über eine mit dem Interface getaggte Default-Route gesendet werden soll, oder
- ein Paket von einem weiteren Router in einem getaggten LAN-Interface empfangen wurde und eine mit dem Interface-Tag versehene Default-Route zur Quelladresse des Pakets existiert, oder
- ein Paket vom WAN empfangen wurde und auf eine beliebig getaggte Default-Route im LAN gesendet werden soll
