Wenn ich z. B. ICMP, HTTP usw regele, mit der Regel "opt1 subnet" <--> "any" dann ist alles Okay. Gern würde ich die Regel ab so haben, dass der Verkehr über das WAN geht. Wähle ich "opt1 subnet" <--> wan address/wan subnet dann ist die Firewall zu.
Any bedeutet genau das, jede IP die es gibt.
opt-subnet <--> any bedeutet, dass das opt-subnet mit allen IP's kommunizieren darf.
opt-subnet <--> wan-address/wan-subnet bedeutet, dass das opt-subnet nur mit IPs welche im WAN-subnet/WAN-address sind kommunizieren darf.
Da irgendwelche Server im Internet normalerweise nicht um Subnet direkt an deinem WAN liegen willst du das wohl nicht
Wenn dein Ziel ist, dein WLAN ins Internet zu lassen, aber kein Zugriff auf die lokal Netzwerke zu geben.
1: Erzeuge ein Alias mit all deinen subnetzen.
2: Erzeuge eine einzelne Firewallregel auf dem opt-interaface:
allow: protocol: any, source: opt-subnet, source-port: any, destination: !Alias (nicht dein alias), destination-port:any
Mit einer solchen Regel lässt du Traffic zu für alle destinations welche NICHT in deinem Alias sind (sprich das internet). Alles was nicht dieser Regel entspricht (destination in deinen lokalen netzen) wird von der default-block-rule gedroppt.
pfSense Forum
