Firewall Regeln werden scheinbar nach zoning defaults angewendet.

    Moin, kurz und knackig:
    Clients in Subnetz aus Zone Hotspot soll mit Clients in Subnets aus Zone Internal kommunizieren.
    FW regel dazu sieht folgendermasen aus:
    - Src Zone Hotspot; Any; Any
    - Dst Zone Internal; Object; SomeServer
    - Return traffic allowed

    Aus dem Hotspot Netz kann ich den Server dennoch nicht erreichen. Ist das default für die Hotspot Zone oder was ist da das Problem?

    Bzw. wie kann ich bitte das default routing Verhalten zwischen Zonen anpassen? Die Regeln scheine ich nicht willkürlich verändern zu dürfen.

    ~besenwesen

    Ganz wichtig ist, die Grundregel der Firewall-Logik zu beachten: Innerhalb einer Zone oder einer Zonenverbindung (z.B. Hotspot --> Internal) werden Regeln grundsätzlich von oben nach unten abgearbeitet. Das erklärt auch Deine zweite Frage: Die Standard-Regeln kannst Du nicht anpassen, aber einfach Deine eigenen darüber schreiben. Dadurch werden die Standard-Regeln ggf. übergangen, je nachdem, was Du in Deine Regeln reinschreibst.

    Bei der Hotspot-Zone glaube ich mal gehört zu haben, dass Geräte hier vollständig isoliert werden, diese Zone ist wohl wirklich nur für nackten Internetzugang gedacht. Ich mag mich täuschen, allerdings hatte ich auch schon mal keinen Erfolg damit, eine Zugriffsfreigabe für Hotspot-Clients zu bauen.

    Eine Lösung ist, das Gastnetzwerk in die "Internal"-Zone zu packen und dann selbst alle gewünschten Abschottungsmaßnahmen zu treffen. Hier wird es dann definitiv klappen, auf einzelne Geräte anderer Subnetze zugreigen zu dürfen.

    Als letzten Stolperstein musst Du noch im Kopf haben, dass auch manche Hosts Zugriffe aus allen Netzen außer ihrem eigenen blockieren. Die Windows-Firewall ist z.B. so ein Kandidat, ohne vorherige Anpassung wirst Du keinen Windows-Computer aus einem "Fremdnetz" heraus auch nur anpingen können.

    Hi Networker,

    erstmal Danke für die ausführliche Antwort.
    Du scheinst recht zu haben. Die Hotspot Zone ist NUR für Internet Access gedacht.

    Die Geschichte mit der Auswertungsreihenfolge war mir bekannt.
    Turns out: Wenn man "Allow Return Traffic" checked, wird die korrespondierende Regel NACH den Network Isolation regeln angewendet.
    Heist: Ist das Netzwerk "Isoliert" greift die Option "Allow Return Traffic" nicht. :S

    Einen isolierten Hotspot ins interne Netz zu routen ist in meinem Fall also aus 2 Gründen nicht möglich gewesen.

    ~besenwesen

  • besenwesen April 14, 2025 at 9:50 AM

    Set the label from offen to erledigt

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login