Firewall-Filterregeln für VLAN
Durch die Aktivierung der VLAN wurden die Netze grundlegenden voneinander getrennt, eine Kommunikation eines Teilnehmers aus VLAN3 (Tag 40) mit einem Teilnehmer aus VLAN1 (Tag 20) ist auf Layer 2 (also MAC-Ebene) nicht mehr möglich. Einzig durch aktives Routing durch das Gateway (also unserem Router) auf Layer 3 wäre eine Kommunikation möglich. Diese Routing-Option muss, wie beschrieben, jedoch extra aktiviert werden. Dies haben wir im Falle von LAN1 und LAN2 aktiviert, somit wird die Trennung der VLAN auf IP-Ebene wieder aufgehoben. Da jedoch bedingt durch das Routing jegliche Kommunikation durch den Router erfolgen muss, lässt sich auf diesem auch eine Filterung vornehmen.
Wir wollen im Falle des Kellernetzes (LAN2) eine Kommunikation auf den DNS-Server aus dem Hauptnetz und auf den Datei-Server auf dem Raspberry Pi ermöglichen, jeden anderen Datenverkehr jedoch unterbinden. Dies lässt sich im Menü "Firewall" -> "Filter Setup" am Router vornehmen.
Hier erstellen wir erneut eine Regel im Default-Filter, welche Traffic von LAN2 zu LAN1 markiert und durch "Block If no Futher Match" an das Filter-Set 12 verweist. Durch diese Regel wird jeglicher Traffic von LAN2 zu LAN1, der nicht in Filter Set 12 freigegeben wurde, durch die Firewall unterbunden. Im Filterset 12 erstellen wir deshalb Regeln, welche den Zugriff auf den Raspberry und den DNS ermöglichen.
Solche Regeln ließen sich analog auch auf die anderen Subnetze oder gar für den Zugriff aus einem Subnetz in Richtung des Internets anwenden.