Moin,

ich habe ein kleines Problem beim Verständnis bzw. der Einrichtung von Firewall-Regeln:

Mein Server (Debian 9) dient bei mir als mehr oder weniger auch als Router. Für dieses Problem erkläre ich das mal anhand von 2 Interfaces. Das eine sei für Heimnetz, das andere für ein Gastnetz.
eth0 ist das Heimnetz mit 10.0.1.1 als IP des Servers, eth1 mit 10.0.2.1 für das Gastnetz.

Für das Gast-Netz habe ich somit den Zugriff auf Port 80 und 443 beschränkt und auch den Zugriff auf das Heimnetz blockiert:
iptables -P FORWARD DROP
iptables -A FORWARD -p tcp -i eth1 -o ppp0 -m multiport --dport 80,443 -j ACCEPT

Somit kann aus dem Gast-Netz nur via HTTP oder HTTPS ins Internet gegangen werden, alle Zugriffe auf das Heimnetz werden auch blockiert.

Problem ist nur, dass dies scheinbar nicht auf die Server-IP zutrifft. So habe ich einen Samba-Server im Heimnetz laufen, der auch nur auf dem Heimnetz-Interface (somit 10.0.1.1) lauscht. Aus dem Gast-Netz erreiche ich ihn unter 10.0.2.1 auch nicht, aber wenn ich 10.0.1.1 dort ansurfe scheint er sich nicht an die FORWARD-Chain zu halten sondern das als Input zu werten obwohl das Interface streng gesehen ja in einem anderen Subnet ist und folglicherweise auch geroutet wurde.

Klar kann ich jetzt zig Regeln schreiben, dass wenn eine INPUT-Anfrage aus dem Gastnetz an andere Interfaces vom Server außer das im eigenen Subnet gedroppt werden, aber ich habe ein paar mehr Interfaces als 2. So soll es bei allen nur so sein, dass diese nicht einfach auf die unterschiedlichen Ports vom Server in einem anderen Subnet zugreifen sollten.

Gibt es da eine Policy oder Regel die dann für alle Interfaces funktioniert?