Firewall Rule

Toby-ch · July 10, 2024 at 7:38 PM

Hallo zusammen

Ich scheitere grade an einer einfachen FW Rule

Alle clients im Vlan Konsolen sollen keine Verbindung mehr in ein anderes Vlan machen können. Jedoch möchte ich noch Verbindung zur VM haben

das Vlan ist nicht isoliert.

Ich greife aus dem Home lan ( 192.168.0.0/23) auf die VM zu

Bei allen anderen in der Gruppe ist der Gateway nicht zu erreichen beim HomeLan jedoch schon wie kann dies sien?

Screenshot 1 Ping aller Gateway

Screenshot 2 Firewall Regel und Inhalt der ip Gruppe ( alle ausser Konsole )

Meine Netzwerke / Vlans die alle Offen sind bis auf das Gast Lan.

Besten dank im voraus für eure Hilfe

**iTweek** · July 10, 2024 at 8:36 PM

Hoi,

Du musst erst mal Firewall sagen welche pakete dropen soll.

Also alle vlans erst mal untereinander das reden verbieten.

Also Regel erstellen in LAN IN. Drop. Netzwerk a zu b

Dann Regel erstellen welche Gerät darf denn drauf zugreifen?

LAN IN. accept. Ip to netzwerk.

Wichtig dabei ist Erst verbieten dann erlauben in der reihen folge

Toby-ch · July 10, 2024 at 8:49 PM

admin

Hallo

Danke für den Input

"Also Regel erstellen in LAN IN. Drop. Netzwerk a zu b"

Mich verwirrte das er alles gedroht hatte bis auf das Vlan 1 ( 192.168.0.0/23) ob wohl dies auch gedroht werden soll.

"Dann Regel erstellen welche Gerät darf denn drauf zugreifen?"
Die Idee war Konsole zu Allen anderen VLan darf keine komunikation passieren.
Alle Vlan zu Konsole jedoch

Mein Gedanke wäre jetzt das Vlad zu isolieren und dann gezielt zu öffnen dies hätte doch den selben Effekt ?

Oder ist dies etwas anderes ?

**iTweek** · July 10, 2024 at 9:03 PM

Isolieren ist wie ein eigenes Netzwerk. Also wäre es ein eigener switch. Dieser Port/vlan ist dann komplett isoliert von allem.

Das nutzt man wenn man mehrere DHCP server hat und alles aber über ein switch laufen muss/soll.

Du willst also Alle vlans dürfen zu konsole reden aber konsole darf nicht reden richtig?

Toby-ch · July 10, 2024 at 9:21 PM

Quote from iTweek

Du willst also Alle vlans dürfen zu konsole reden aber konsole darf nicht reden richtig?

Korrekt

Das Blockieren hat funktioniert:

Das mit dem Erlauben leider nicht, ich bin soweit gegangen das ich es auf die Einzelne VM unterbrechen könnte da es dort nur eine gibt:

Geht leider nicht.

**iTweek** · July 10, 2024 at 9:36 PM

du möchtest das home lan nach 172.xx reden darf?

Das wird so nicht funktionieren.

Da 172.xx die pakete empfangen tut aber nicht zurück reden kann/darf

Du musst jetzt noch 172.xx sagen zu welche ip er reden darf.

Da du ja den ganzen vlan sekment gesperrt hast

**iTweek** · July 10, 2024 at 9:39 PM

Sprich quelle : 172.xx

To. : IP Erlauben

Toby-ch · July 10, 2024 at 9:46 PM

So sie sieht es jetzt aus

sind dies alles LAN in müsste die Letzte nicht eine LAN Out Regel sein ?

Toby-ch · July 10, 2024 at 9:55 PM

Irgend etwas Blockiert hier noch:

Ich habe pings an die drei ins in der Gruppe (connect to RDP) gesendet:

Für das Letzte VLAN gibt es noch keine Block Regel

Im log tauchen nur dies bei der Allow Regel auf:

2024-07-10	21:48:33	Hinweis	UDMPRO	user	DESCR="Allow Konsole RDP" IN=br222 OUT=br500 MAC=78:45:58:c1:51:5d:62:95:7f:17:cc:fc:08:00 SRC=172.29.222.51 DST=10.98.4.3 LEN=60 TOS=00 PREC=0x00 TTL=127 ID=13845 PROTO=ICMP TYPE=8 CODE=0 ID=1 SEQ=542 MARK=1a0000
2024-07-10	21:48:32	Hinweis	UDMPRO	user	DESCR="Allow Konsole RDP" IN=br222 OUT=br500 MAC=78:45:58:c1:51:5d:62:95:7f:17:cc:fc:08:00 SRC=172.29.222.51 DST=10.98.4.3 LEN=60 TOS=00 PREC=0x00 TTL=127 ID=13844 PROTO=ICMP TYPE=8 CODE=0 ID=1 SEQ=541 MARK=1a0000
2024-07-10	21:48:31	Hinweis	UDMPRO	user	DESCR="Allow Konsole RDP" IN=br222 OUT=br500 MAC=78:45:58:c1:51:5d:62:95:7f:17:cc:fc:08:00 SRC=172.29.222.51 DST=10.98.4.3 LEN=60 TOS=00 PREC=0x00 TTL=127 ID=13843 PROTO=ICMP TYPE=8 CODE=0 ID=1 SEQ=540 MARK=1a0000
2024-07-10	21:48:30	Hinweis	UDMPRO	user	DESCR="Allow Konsole RDP" IN=br222 OUT=br500 MAC=78:45:58:c1:51:5d:62:95:7f:17:cc:fc:08:00 SRC=172.29.222.51 DST=10.98.4.3 LEN=60 TOS=00 PREC=0x00 TTL=127 ID=13842 PROTO=ICMP TYPE=8 CODE=0 ID=1 SEQ=539 MARK=1a0000

Scheint so als kann die VM nicht antworten: den zu dieser zeit gibt es keinen LOG eintrag bei der oberen Allow Regel

2024-07-10	21:56:58	Hinweis	UDMPRO	user	DESCR="Allow VM 304" IN=br0 OUT=br222 MAC=7a:45:58:c1:51:54:24:5e:be:81:7a:ce:08:00 SRC=192.168.0.86 DST=172.29.222.51 LEN=64 TOS=00 PREC=0x00 TTL=63 ID=0 DF PROTO=TCP SPT=51174 DPT=3389 SEQ=1768065761 ACK=0 WINDOW=65535 SYN URGP=0 MARK=1a0000
2024-07-10	21:56:54	Hinweis	UDMPRO	user	DESCR="Allow VM 304" IN=br0 OUT=br222 MAC=7a:45:58:c1:51:54:24:5e:be:81:7a:ce:08:00 SRC=192.168.0.86 DST=172.29.222.51 LEN=64 TOS=00 PREC=0x00 TTL=63 ID=0 DF PROTO=TCP SPT=51174 DPT=3389 SEQ=1768065761 ACK=0 WINDOW=65535 SYN URGP=0 MARK=1a0000
2024-07-10	21:56:52	Hinweis	UDMPRO	user	DESCR="Allow VM 304" IN=br0 OUT=br222 MAC=7a:45:58:c1:51:54:24:5e:be:81:7a:ce:08:00 SRC=192.168.0.86 DST=172.29.222.51 LEN=64 TOS=00 PREC=0x00 TTL=63 ID=0 DF PROTO=TCP SPT=51174 DPT=3389 SEQ=1768065761 ACK=0 WINDOW=65535 SYN URGP=0 MARK=1a0000
2024-07-10	21:56:51	Hinweis	UDMPRO	user	DESCR="Allow VM 304" IN=br0 OUT=br222 MAC=7a:45:58:c1:51:54:24:5e:be:81:7a:ce:08:00 SRC=192.168.0.86 DST=172.29.222.51 LEN=64 TOS=00 PREC=0x00 TTL=63 ID=0 DF PROTO=TCP SPT=51174 DPT=3389 SEQ=1768065761 ACK=0 WINDOW=65535 SYN URGP=0 MARK=1a0000
2024-07-10	21:56:50	Hinweis	UDMPRO	user	DESCR="Allow VM 304" IN=br0 OUT=br222 MAC=7a:45:58:c1:51:54:24:5e:be:81:7a:ce:08:00 SRC=192.168.0.86 DST=172.29.222.51 LEN=64 TOS=00 PREC=0x00 TTL=63 ID=0 DF PROTO=TCP SPT=51174 DPT=3389 SEQ=1768065761 ACK=0 WINDOW=65535 SYN URGP=0

Die Block Rolle greift trotzdem noch:

SRC 172.29.222.51 DST: 192.168.0.86 was eigentlich durchgelassen werden sollte

2024-07-10	22:15:36	Hinweis	UDMPRO	user	DESCR="Konsole To Home-Lan" IN=br222 OUT=br0 MAC=78:45:58:c1:51:5d:62:95:7f:17:cc:fc:08:00 SRC=172.29.222.51 DST=192.168.0.86 LEN=40 TOS=00 PREC=0x00 TTL=127 ID=43863 DF PROTO=TCP SPT=3389 DPT=55771 SEQ=3086587101 ACK=742075705 WINDOW=0 RST URGP=0 MARK=1a0000
2024-07-10	22:15:30	Hinweis	UDMPRO	user	DESCR="Konsole To Home-Lan" IN=br222 OUT=br0 MAC=78:45:58:c1:51:5d:62:95:7f:17:cc:fc:08:00 SRC=172.29.222.51 DST=192.168.0.86 LEN=52 TOS=00 PREC=0x00 TTL=127 ID=43862 DF PROTO=TCP SPT=3389 DPT=55771 SEQ=3086587100 ACK=742075705 WINDOW=64000 ACK SYN URGP=0 MARK=1a0000
2024-07-10	22:15:22	Hinweis	UDMPRO	user	DESCR="Konsole To Home-Lan" IN=br222 OUT=br0 MAC=78:45:58:c1:51:5d:62:95:7f:17:cc:fc:08:00 SRC=172.29.222.51 DST=192.168.0.86 LEN=52 TOS=00 PREC=0x00 TTL=127 ID=43861 DF PROTO=TCP SPT=3389 DPT=55771 SEQ=3086587100 ACK=742075705 WINDOW=64000 ACK SYN URGP=0 MARK=1a0000
2024-07-10	22:15:21	Hinweis	UDMPRO	user	DESCR="Konsole To Home-Lan" IN=br222 OUT=br0 MAC=78:45:58:c1:51:5d:62:95:7f:17:cc:fc:08:00 SRC=172.29.222.51 DST=192.168.0.86 LEN=40 TOS=00 PREC=0x00 TTL=127 ID=43860 DF PROTO=TCP SPT=3389 DPT=55760 SEQ=3591442538 ACK=3472527513 WINDOW=0 RST URGP=0 MARK=1a0000
2024-07-10	22:15:18	Hinweis	UDMPRO	user	DESCR="Konsole To Home-Lan" IN=br222 OUT=br0 MAC=78:45:58:c1:51:5d:62:95:7f:17:cc:fc:08:00 SRC=172.29.222.51 DST=192.168.0.86 LEN=52 TOS=00 PREC=0x00 TTL=127 ID=43859 DF PROTO=TCP SPT=3389 DPT=55771 SEQ=3086587100 ACK=742075705 WINDOW=64000 ACK SYN URGP=0 MARK=1a0000

**iTweek** · July 11, 2024 at 6:44 AM

Stimmt schon so

Lan in bedeutet alles was in lan zum switch geht bzw zum router

Lan out alles was von ihm weg geht.

Wenn du lan in schon dropen oder erlauben tust kann auch nichts out gehen.

Um weiter zu testen müsste man live sich ansehen. Müsste so korrekt sein.

Versuche mal anstelle von gruppen pc „conect to vm“ mit deine rechner ip zu ersetzten. Also der rechner der Konsole nutzen darf.

Habe tatsächlich noch nie mit gruppen gearbeitet.

amaskus · July 11, 2024 at 1:42 PM

Eigentlich werden firewall regeln immer von oben nach unten gelesen.

Daher müsste deine erlauben regel vor die drop regel.

Tomcat · July 11, 2024 at 2:46 PM

Quote from amaskus

Eigentlich werden firewall regeln immer von oben nach unten gelesen.

Nicht nur gelesen, sondern eben so abgearbeitet und dann gilt eben "First match", die erste Regel, dei zutrifft, wird genommen, die danach für den Request nicht mehr beachtet.

Toby-ch · July 12, 2024 at 7:04 PM

Quote from Tomcat

Nicht nur gelesen, sondern eben so abgearbeitet und dann gilt eben "First match", die erste Regel, dei zutrifft, wird genommen, die danach für den Request nicht mehr beachtet.

Dann müsste ich zuerst erlauben und danach Blocken

Tomcat · July 12, 2024 at 7:39 PM

Quote from Toby-ch

Dann müsste ich zuerst erlauben und danach Blocken

Richtig,
- erst erlauben was erlaubt sein soll
- als letzte Regel "Block all"

Toby-ch · July 13, 2024 at 3:07 PM

Danke für eure Hilfe ich konnte mein vorhaben nun umsetzen:

Etwas verstehe ich jedoch nicht:
Warum sind alle Gateways der geblockten Subnetze erreichbar ausser das 192.168.0.1 ?

Ping:

Mir ist klar das es nur ein Gateway gibt und das ist meine UDM jedoch wir diese in jedem Subnetz separat angesprochen.

**Nukite** · July 13, 2024 at 3:44 PM

Du kannst den Zugriff auf die UI Admin Seite auch verhindern indem du die Ports 443,80, 21 blockierst, dann geht zwar der ping noch, aber die UI Admin Seite wird blockiert

Schau Dir das Video an ab Minute 17

https://youtu.be/krhsZWnAxVc?si=wVcXjd6-zohKI2X5

Participate now!