Policy Based Routing

Die Voraussetzung für die Nutzung von Policy Based Routing ist die Fireware Pro bzw. XTM Pro Zusatzoption und die korrekte Konfiguration von mehr als einem externem Interface für den Multi-WAN-Betrieb (vgl. z.B. http://de.watchguard-blog.com/2011/08/multi-wan-und-policy-based-routing.html).
Anschließend erweitert sich das Erscheinungsbild jeder einzelnen Firewall-Policy – und über die dort erscheinenden, eigentlich selbsterklärenden erweiterten Einstellungen lässt sich das gewünschte Verhalten im Multi-WAN-Umfeld bestimmen:

Sinn macht an dieser Stelle natürlich – speziell für ausgehende HTTP und HTTPS Policies – hier das vom Multi-WAN-Default abweichende Interface auszuwählen (im Beispiel das Interface “VDSL50” anstelle der defaultmäßigen “STANDLEITUNG”). Das hat zur Folge, dass eben der durch ausgehende HTTP/HTTPS-Verbindungen (also auch Downloads!) verursachte Traffic über das “zweite” externe Interface geführt wird (VDSL50) – und somit die STANDLEITUNG von eben diesem Traffic entlastet wird, so dass die dortige Bandbreite für die unternehmenskritischeren Anwendungen wie VPN, E-Mail etc. genutzt werden kann.

2 Kommentare zu “Policy Based Routing”

  1. Anonym

    Liebe Alle,

    eigentlich logisch, aber falls jemand nur hier ins blog schaut und nicht ins Handbuch von Watchguard (section: Multi-wan and DNS), muß ich noch anmerken, daß Multi-Wan /PBR nur funktioniert, wenn die Firebox selbst DNS anfragen darf. Also die gute FB nicht in der DNS Regel vergessen…
    Gruß aus Hamburg, Peter Kuschke

  2. Bernd Och

    Hallo Herr Kuschke,
    für Datenverkehr, der von der Firebox SELBST ausgeht, wird keine Firewall-Regel benötigt! Die Firebox selbst darf immer alles 🙂 Das Regelwerk wird nur auf Traffic angewendet, der DURCH die Firewall hindurch will…
    LG Bernd Och

Leave a Reply

Your email address will not be published. Required fields are marked *