Wichtige Ergänzung der Firewall-Tipps (1. Auflage, Stand: 01. Juni 2002) für Firmware ab Version 2.3
(Wurde in der 2. Auflage, Stand: 19. Februar 2003 der Firewall-Tipps entsprechend überarbeitet)
Ich möchte darauf hinweisen, dass beim Umstieg auf die Firmware 2.3 (2.3sta, 2.3.1 und eventuell auch folgende) alle Firewall-Regeln gelöscht werden müssen, bei denen über das WebInterface einer Vorgängerversion die Option "Source Route" gesetzt worden ist (z.B. auch die Regel "Block Source" im Filter-Set 3, Nr. 1 der Firewall-Anleitung von Michael König).
Im Gästebuch der www.vigor-users.de hat ein Anwender ohnehin ein Entschuldigungsschreiben von DrayTek veröffentlicht, in dem DrayTek mitteilt, diese Option sei "invalid".
Sie wurde auch mit "block out quick from any to any with opt lsrr,ssrr" nach meiner Auffassung etwas unglücklich vom WebInterface in den ipf-Befehlssatz übersetzt, denn damit werden nur Pakete geblockt, bei denen beide Optionen (Loose Source and Record Route und Strict Source and Record Route) gesetzt sind, aber keine Pakete mit nur einer dieser Optionen.
Die Option "Source Route" ist nunmehr im WebInterface der Fw 2.3 verschwunden (auch eine Lösung).
Beim Update auf die Firmware 2.3 passiert zunächst auch nichts, außer dass man die Regel nicht mehr versteht, wenn man sie sich im WebInterface ansieht (unter Telnet wird sie mit ipf view -r unverändert angezeigt). Ändert man aber auch nur eine einzige Firewall-Regel, so übersetzt das WebInterface alle Regeln neu und aus "block out quick from any to any with opt lsrr,ssrr" wird "block out quick from any to any".
Danach ist Schluss mit Internet!