Die interfaceabhängige Filterung ermöglicht es – zusammen mit dem Policy-based Routing – für jedes Interface virtuelle Router zu definieren.
Beispiel:
Es werden zwei separate IP-Netze verwendet für Entwicklung und Vertrieb. Beide Netze hängen an verschiedenen Switchports, verwenden aber das gleiche Netz '10.1.1.0/255.255.255.0'. Der Vertrieb soll nur ins Internet dürfen, während die Entwicklung auch auf das Netz einer Partnerfirma ('192.168.1.0/255.255.255.0'') zugreifen darf.
Es ergibt sich folgende Routing-Tabelle (dabei hat die Entwicklungsabteilung das Tag 2 und der Vertrieb das Tag 1):
| IP-Adresse | IP-Netzmaske | Rtg-tag | Peer-oder-IP | Distanz | Maskierung | Aktiv |
|---|---|---|---|---|---|---|
| 192.168.1.0 | 255.255.255.0 | 2 | PARTNER | 0 | nein | ja |
| 192.168.0.0 | 255.255.0.0 | 0 | 0.0.0.0 | 0 | nein | ja |
| 255.255.255.255 | 0.0.0.0 | 2 | INTERNET | 2 | ja | ja |
| 255.255.255.255 | 0.0.0.0 | 1 | INTERNET | 2 | ja | ja |
Stünden Entwicklung und Vertrieb in IP-Netzen mit unterschiedlichen Adressbereichen, wäre die Zuordnung der Routing-Tags über Firewall-Regeln kein Problem. Da aber beide Abteilungen im gleichen IP-Netz stehen, ist nur eine Zuordnung über die Netzwerknamen möglich.
Die Zuweisung der Tags kann direkt bei der Netzwerk-Definition erfolgen:
| Netzwerkname | IP-Adresse | Netzmaske | VLAN-ID | Interface | Adressprüfung | Typ | Rtg-Tag |
|---|---|---|---|---|---|---|---|
| ENTWICKLUNG | 10.1.1.1 | 255.255.255.0 | 0 | LAN-1 | streng | Intranet | 2 |
| VERTRIEB | 10.1.1.1 | 255.255.255.0 | 0 | LAN-2 | streng | Intranet | 1 |
Alternativ kann die Zuweisung der Tags auch über die Kombination von Netzwerkdefinitionen und Firewallregeln erfolgen. Die Netze sind wie folgt definiert:
| Netzwerkname | IP-Adresse | Netzmaske | VLAN-ID | Interface | Adressprüfung | Typ | Rtg-Tag |
|---|---|---|---|---|---|---|---|
| ENTWICKLUNG | 10.1.1.1 | 255.255.255.0 | 0 | LAN-1 | streng | Intranet | 0 |
| VERTRIEB | 10.1.1.1 | 255.255.255.0 | 0 | LAN-2 | streng | Intranet | 0 |
Dann lassen sich durch die Routing-Tags folgende Firewall-Regeln festlegen:
| Name | Protokoll | Quelle | Ziel | Aktion | verknuepft | Prio | (...) | Rtg-tag |
|---|---|---|---|---|---|---|---|---|
| ENTWICKLUNG | ANY | %Lentwicklung | ANYHOST | %a | ja | 255 | 2 | |
| VERTRIEB | ANY | %Lvertrieb | ANYHOST | %a | ja | 255 | 1 |
Wichtig bei diesen Regeln ist die maximale Priorität (255), damit die Regeln immer als erstes ausgewertet werden. Damit nun trotz dieser Regeln noch eine Filterung nach Diensten möglich ist, muss die Option "verknuepft" in der Firewall-Regel gesetzt sein.
