Firewall begrijpen

[Briolet]

Wil je bijvoorbeeld niet dat VPN clients SMB kunnen doen (share koppelen) maar plaatst die regel op Alle interfaces zal niemand SMB kunnen doen.
Zo`n regel hoort dan op de VPN interface thuis.

Daarom schreef ik ook 99% en niet 100%. Als je al zulke ingewikkelde firewall regels maakt, heb je geen uitleg nodig.

En zelfs jouw voorbeeld kun je bereiken met alleen "All Interfaces" omdat VPN verbindingen een eigen IP range hebben. Die IP's gebruik ik om ssh via VPN mogelijk te maken binnen "All Interfaces" omdat ik verder alleen een paar interne IP adressen ssh toegang geef.. 

[Pippin]

Eigenlijk is het aan de oppervlakte niet zo ingewikkeld, dat weten wij maar beginners kunnen daar redelijk mee worstelen.

Leren dat er alleen regels nodig zijn op Alle interfaces kan een troubleshoot worden als in de toekomst "interface specifieke" regels nodig zijn. Het ging mij om de nuance.

Een regel op Alle interfaces bedoelt voor het VPN subnet staat dan ook op LAN1 (indien van toepassing ook LAN2, LAN3, etc.).
Die regel zal echter nooit matchen, andersom is ook waar.
Wat ook gebeuren kan is dat iets geblokt wordt op Alle interfaces wat je niet wilt blokken op de VPN (of andere interface).


P.S.
De interfaces hebben ook een volgorde net als de regels van boven naar beneden op elke interface:
1. LAN1 regels
2. LAN2 regels
3. LAN3 regels
4. LAN4 regels
5. VPN

LAN2-3-4 natuurlijk alleen indien van toepassing.
Zelf heb ik niet èèn regel op Alle interfaces.

[Pippin]

Als ik het dan goed begrijp wordt alles geweigerd, behalve dat wat ik in de eerste regel heb toegestaan.

Correct.