On Wed, 3 Nov 2004 16:38:32 +0100, Herbert Hahn wrote: >Source Address: Any >Destination Address: Any ---> hier nicht ANY sondern die �ffentliche IP Adresse
Nein. Also wir reden hier von einer ZyXEL ZyWall (Firmware ist relativ egal). Die unterscheidet zwischen WAN to WAN/ZyWall Regeln und WAN to LAN Regeln. Bei ersterer sind die WANseitige(n) IP-Adresse(n) die Destination. Bei letzterer (und um die ging's ja hier) sind die LANseitigen - typischerweise geNATeten privaten - IP-Adressen einzutragen. (f�r die DMZ ist das entsprechend zu erweitern) >Action for Matched Packets: Forward ---> muss/kann man da nicht angeben an welche >adresse er >forwarden soll. Falls das eine Frage sein soll: nein, das Forward in der Firewall-Regel hei�t nur "durchlassen" (im Gegensatz zu Block). Firewall Regeln haben im �brigen *nix* mit dem Routing (oder dem NAT) zu tun, das ist nur ein Filter, der entscheidet: dieses Paket ist keine Antwort auf ein Paket von innen, gibt's daf�r eine "forward" Regel? Falls nein, dann wird das Paket gedroppt. Falls es hingegen durchgelassen werden soll, mu� es eben geroutet werden k�nnen oder es gibt einen Eintrag daf�r in der Port Forwarding Table. Drum kann man die Frage "was ist vorher, was ist nachher geschaltet?", auch nicht so w�rtlich beantworten, weil - zuerst wird per NAT die IP-Adresse umgesetzt - dann wirken die Firewall Regeln - und dann wird geroutet [und bitte jetzt nicht fragen, wann die Packet Filter wirken, ich kann mich nimmer erinnern ;) ] >Denn dadurch weiss er ja an welche maschine er unaufgeforderte packete senden soll. >Im gegensatz dazu wird wenn von innerhalb deines netzes eine anfrage kommt wohin er >die Antworten >senden muss. Umgekehrt weiss er es eben nicht auf welche IP er die packete senden >soll und sie >landen im nirvana. Das hier gesagte kann ich nicht nachvollziehen. Aber ich habe das Gef�hl, hier vermischen sich Firewall Regeln und Address Translation und Routing... ;) Servus, Andreas _______________________________________________ Coffeehouse Mailingliste, Postings senden an: [EMAIL PROTECTED] An-/Abmeldung und Suchfunktion unter: http://www.glengamoi.com/mailman/listinfo/coffeehouse
