Az RSTP nálam is be van kapcsolva. Ez a példa a tutorial-ból lett bemásolva, ezért ott nincs bekapcsolva. :-)
> Puszta kíváncsiságból (illetve gondolom nem ez az összes tűzfalszabály) ha adsz egy IP címet a BR1-nek, azt mindenhonnan eléred?
Nekem persze nem ez az összes szabály, ez csak egy példa és ott külön kommentezve van hogy "make it more granular". :-) Ez csak egy működő példa ami a lehető legegyszerűbbre van megírva, hogy könnyen érthető legyen.
Ami a bridge címét illeti: a bridge-nek nálam NINCS LAYER 3 CÍME. Csak a bridge-hez fölvett "/interface vlan" interface-eknek van címe, és a dhcp szerver meg a caching dns szerver is ezekre van rátéve. Ami azt a kérdést illeti hogy ezeket honnan érem el, arra a következő a válasz. A vlan interface egy virtuális dolog, CPU-ban van implementálva. Ha valaki el akar érni egy olyan címet, ami egy ilyen vlan eszközhöz tartozik, akkor a csomagnak ki **kell** jönnie a switch chip-ből, és át kell mennie a CPU-ba. A layer3 tűzfal input szabályai futnak le rá, és ezekkel lehet szabályozni azt, hogy honnan éred el és honnan nem. Mivel a csomagot mindenképpen ki kell másolni a CPU-ba, ezért ez a hw offloading szempontjából irreleváns. (Akkor is ki kellene másolni, ha egyetlen egy tűzfal szabály se lenne.)
Ezt a fajta konfigot szokták úgy hívni hogy "router on a stick" ( https://en.wikipedia.org/wiki/Router_on_a_stick ). A vlan-on belüli forgalom általában nem éri el a router-t, hanem a switch-ekben levő MAC learning table alapján egy (remélhetőleg) optimális úton jutnak el a feladótól a címzettig, kihagyva az összes routing-ot. Ha viszont egyik vlan-ból a másikba akarsz küldeni valamit, akkor az a switch-eken nem tud átmenni, csak a "stick"-en levő router-en át, így az ilyen inter-vlan forgalmat egyetlen egy helyen, a központi router-ben tudod szabályozni.