hallo community,
ich habe mal eine frage zu den firewall-regeln (und regelsätzen) bei einem edge-router (in diesem fall ein er-12). nach dem der router jetzt in den produktiv-einsatz überführt werden soll, möchte ich noch alle netze trennen (was grundsätzlich auch funktioniert) und den zugriff richtung wan einschränken, wobei es bei mir grundsätzlich mit dem whitelist-prinzip realisiert wird, drop-policy und nur erlauben, was benötigt wird.
das einrichten der regelsätze für den gerouteten traffic (IN und OUT) funktioniert auch bei der wan-schnittstelle problemlos, nur sobald ich den LOCAL-regelsatz erstelle und an die wan-schnittstelle binde, ist keinerlei traffic vom router direkt richtung wan möglich, gemeint sind hier vor allem die lokale namensauflösung, ein- wie ausgehender ping und ausgehende vpn-verbindungen. entsprechende regeln für ping, dns oder openvpn mit state = new habe ich eingerichtet, das scheint ihn aber nicht wirklich zu interessieren.
habe ich hier irgendwas übersehen oder schlimmstenfalls falsch verstanden?
danke und gruß
Nils