Firewall Rule

Es gibt 15 Antworten in diesem Thema, welches 739 mal aufgerufen wurde. Der letzte Beitrag () ist von Nukite.

  • Hallo zusammen

    Ich scheitere grade an einer einfachen FW Rule

    Alle clients im Vlan Konsolen sollen keine Verbindung mehr in ein anderes Vlan machen können. Jedoch möchte ich noch Verbindung zur VM haben

    das Vlan ist nicht isoliert.


    Ich greife aus dem Home lan ( 192.168.0.0/23) auf die VM zu

    Bei allen anderen in der Gruppe ist der Gateway nicht zu erreichen beim HomeLan jedoch schon wie kann dies sien?


    Screenshot 1 Ping aller Gateway


    Screenshot 2 Firewall Regel und Inhalt der ip Gruppe ( alle ausser Konsole )


    Meine Netzwerke / Vlans die alle Offen sind bis auf das Gast Lan.


    Besten dank im voraus für eure Hilfe

  • Hoi,


    Du musst erst mal Firewall sagen welche pakete dropen soll.


    Also alle vlans erst mal untereinander das reden verbieten.


    Also Regel erstellen in LAN IN. Drop. Netzwerk a zu b


    Dann Regel erstellen welche Gerät darf denn drauf zugreifen?


    LAN IN. accept. Ip to netzwerk.


    Wichtig dabei ist Erst verbieten dann erlauben in der reihen folge

    LG Michael aka iTweek

  • iTweek

    Hallo

    Danke für den Input

    "Also Regel erstellen in LAN IN. Drop. Netzwerk a zu b"

    Mich verwirrte das er alles gedroht hatte bis auf das Vlan 1 ( 192.168.0.0/23) ob wohl dies auch gedroht werden soll.

    "Dann Regel erstellen welche Gerät darf denn drauf zugreifen?"
    Die Idee war Konsole zu Allen anderen VLan darf keine komunikation passieren.
    Alle Vlan zu Konsole jedoch


    Mein Gedanke wäre jetzt das Vlad zu isolieren und dann gezielt zu öffnen dies hätte doch den selben Effekt ?


    Oder ist dies etwas anderes ?

  • Isolieren ist wie ein eigenes Netzwerk. Also wäre es ein eigener switch. Dieser Port/vlan ist dann komplett isoliert von allem.

    Das nutzt man wenn man mehrere DHCP server hat und alles aber über ein switch laufen muss/soll.



    Du willst also Alle vlans dürfen zu konsole reden aber konsole darf nicht reden richtig?

    LG Michael aka iTweek

  • Du willst also Alle vlans dürfen zu konsole reden aber konsole darf nicht reden richtig?

    Korrekt

    Das Blockieren hat funktioniert:



    Das mit dem Erlauben leider nicht, ich bin soweit gegangen das ich es auf die Einzelne VM unterbrechen könnte da es dort nur eine gibt:


    Geht leider nicht.

  • Irgend etwas Blockiert hier noch:

    Ich habe pings an die drei ins in der Gruppe (connect to RDP) gesendet:

    Für das Letzte VLAN gibt es noch keine Block Regel

    Im log tauchen nur dies bei der Allow Regel auf:


    2024-07-1021:48:33HinweisUDMPROuserDESCR="Allow Konsole RDP" IN=br222 OUT=br500 MAC=78:45:58:c1:51:5d:62:95:7f:17:cc:fc:08:00 SRC=172.29.222.51 DST=10.98.4.3 LEN=60 TOS=00 PREC=0x00 TTL=127 ID=13845 PROTO=ICMP TYPE=8 CODE=0 ID=1 SEQ=542 MARK=1a0000
    2024-07-1021:48:32HinweisUDMPROuserDESCR="Allow Konsole RDP" IN=br222 OUT=br500 MAC=78:45:58:c1:51:5d:62:95:7f:17:cc:fc:08:00 SRC=172.29.222.51 DST=10.98.4.3 LEN=60 TOS=00 PREC=0x00 TTL=127 ID=13844 PROTO=ICMP TYPE=8 CODE=0 ID=1 SEQ=541 MARK=1a0000
    2024-07-1021:48:31HinweisUDMPROuserDESCR="Allow Konsole RDP" IN=br222 OUT=br500 MAC=78:45:58:c1:51:5d:62:95:7f:17:cc:fc:08:00 SRC=172.29.222.51 DST=10.98.4.3 LEN=60 TOS=00 PREC=0x00 TTL=127 ID=13843 PROTO=ICMP TYPE=8 CODE=0 ID=1 SEQ=540 MARK=1a0000
    2024-07-1021:48:30HinweisUDMPROuserDESCR="Allow Konsole RDP" IN=br222 OUT=br500 MAC=78:45:58:c1:51:5d:62:95:7f:17:cc:fc:08:00 SRC=172.29.222.51 DST=10.98.4.3 LEN=60 TOS=00 PREC=0x00 TTL=127 ID=13842 PROTO=ICMP TYPE=8 CODE=0 ID=1 SEQ=539 MARK=1a0000



    Scheint so als kann die VM nicht antworten: den zu dieser zeit gibt es keinen LOG eintrag bei der oberen Allow Regel


    2024-07-1021:56:58HinweisUDMPROuserDESCR="Allow VM 304" IN=br0 OUT=br222 MAC=7a:45:58:c1:51:54:24:5e:be:81:7a:ce:08:00 SRC=192.168.0.86 DST=172.29.222.51 LEN=64 TOS=00 PREC=0x00 TTL=63 ID=0 DF PROTO=TCP SPT=51174 DPT=3389 SEQ=1768065761 ACK=0 WINDOW=65535 SYN URGP=0 MARK=1a0000
    2024-07-1021:56:54HinweisUDMPROuserDESCR="Allow VM 304" IN=br0 OUT=br222 MAC=7a:45:58:c1:51:54:24:5e:be:81:7a:ce:08:00 SRC=192.168.0.86 DST=172.29.222.51 LEN=64 TOS=00 PREC=0x00 TTL=63 ID=0 DF PROTO=TCP SPT=51174 DPT=3389 SEQ=1768065761 ACK=0 WINDOW=65535 SYN URGP=0 MARK=1a0000
    2024-07-1021:56:52HinweisUDMPROuserDESCR="Allow VM 304" IN=br0 OUT=br222 MAC=7a:45:58:c1:51:54:24:5e:be:81:7a:ce:08:00 SRC=192.168.0.86 DST=172.29.222.51 LEN=64 TOS=00 PREC=0x00 TTL=63 ID=0 DF PROTO=TCP SPT=51174 DPT=3389 SEQ=1768065761 ACK=0 WINDOW=65535 SYN URGP=0 MARK=1a0000
    2024-07-1021:56:51HinweisUDMPROuserDESCR="Allow VM 304" IN=br0 OUT=br222 MAC=7a:45:58:c1:51:54:24:5e:be:81:7a:ce:08:00 SRC=192.168.0.86 DST=172.29.222.51 LEN=64 TOS=00 PREC=0x00 TTL=63 ID=0 DF PROTO=TCP SPT=51174 DPT=3389 SEQ=1768065761 ACK=0 WINDOW=65535 SYN URGP=0 MARK=1a0000
    2024-07-1021:56:50HinweisUDMPROuserDESCR="Allow VM 304" IN=br0 OUT=br222 MAC=7a:45:58:c1:51:54:24:5e:be:81:7a:ce:08:00 SRC=192.168.0.86 DST=172.29.222.51 LEN=64 TOS=00 PREC=0x00 TTL=63 ID=0 DF PROTO=TCP SPT=51174 DPT=3389 SEQ=1768065761 ACK=0 WINDOW=65535 SYN URGP=0


    Die Block Rolle greift trotzdem noch:


    SRC 172.29.222.51 DST: 192.168.0.86 was eigentlich durchgelassen werden sollte

    2024-07-1022:15:36HinweisUDMPROuserDESCR="Konsole To Home-Lan" IN=br222 OUT=br0 MAC=78:45:58:c1:51:5d:62:95:7f:17:cc:fc:08:00 SRC=172.29.222.51 DST=192.168.0.86 LEN=40 TOS=00 PREC=0x00 TTL=127 ID=43863 DF PROTO=TCP SPT=3389 DPT=55771 SEQ=3086587101 ACK=742075705 WINDOW=0 RST URGP=0 MARK=1a0000
    2024-07-1022:15:30HinweisUDMPROuserDESCR="Konsole To Home-Lan" IN=br222 OUT=br0 MAC=78:45:58:c1:51:5d:62:95:7f:17:cc:fc:08:00 SRC=172.29.222.51 DST=192.168.0.86 LEN=52 TOS=00 PREC=0x00 TTL=127 ID=43862 DF PROTO=TCP SPT=3389 DPT=55771 SEQ=3086587100 ACK=742075705 WINDOW=64000 ACK SYN URGP=0 MARK=1a0000
    2024-07-1022:15:22HinweisUDMPROuserDESCR="Konsole To Home-Lan" IN=br222 OUT=br0 MAC=78:45:58:c1:51:5d:62:95:7f:17:cc:fc:08:00 SRC=172.29.222.51 DST=192.168.0.86 LEN=52 TOS=00 PREC=0x00 TTL=127 ID=43861 DF PROTO=TCP SPT=3389 DPT=55771 SEQ=3086587100 ACK=742075705 WINDOW=64000 ACK SYN URGP=0 MARK=1a0000
    2024-07-1022:15:21HinweisUDMPROuserDESCR="Konsole To Home-Lan" IN=br222 OUT=br0 MAC=78:45:58:c1:51:5d:62:95:7f:17:cc:fc:08:00 SRC=172.29.222.51 DST=192.168.0.86 LEN=40 TOS=00 PREC=0x00 TTL=127 ID=43860 DF PROTO=TCP SPT=3389 DPT=55760 SEQ=3591442538 ACK=3472527513 WINDOW=0 RST URGP=0 MARK=1a0000
    2024-07-1022:15:18HinweisUDMPROuserDESCR="Konsole To Home-Lan" IN=br222 OUT=br0 MAC=78:45:58:c1:51:5d:62:95:7f:17:cc:fc:08:00 SRC=172.29.222.51 DST=192.168.0.86 LEN=52 TOS=00 PREC=0x00 TTL=127 ID=43859 DF PROTO=TCP SPT=3389 DPT=55771 SEQ=3086587100 ACK=742075705 WINDOW=64000 ACK SYN URGP=0 MARK=1a0000

    Einmal editiert, zuletzt von Toby-ch () aus folgendem Grund: Update

  • Stimmt schon so


    Lan in bedeutet alles was in lan zum switch geht bzw zum router


    Lan out alles was von ihm weg geht.


    Wenn du lan in schon dropen oder erlauben tust kann auch nichts out gehen.


    Um weiter zu testen müsste man live sich ansehen. Müsste so korrekt sein.



    Versuche mal anstelle von gruppen pc „conect to vm“ mit deine rechner ip zu ersetzten. Also der rechner der Konsole nutzen darf.


    Habe tatsächlich noch nie mit gruppen gearbeitet.

    LG Michael aka iTweek

  • Eigentlich werden firewall regeln immer von oben nach unten gelesen.


    Daher müsste deine erlauben regel vor die drop regel.

    Mein Projekt

  • Nicht nur gelesen, sondern eben so abgearbeitet und dann gilt eben "First match", die erste Regel, dei zutrifft, wird genommen, die danach für den Request nicht mehr beachtet.

    Dann müsste ich zuerst erlauben und danach Blocken

  • Danke für eure Hilfe ich konnte mein vorhaben nun umsetzen:


    Etwas verstehe ich jedoch nicht:
    Warum sind alle Gateways der geblockten Subnetze erreichbar ausser das 192.168.0.1 ?




    Ping:


    Mir ist klar das es nur ein Gateway gibt und das ist meine UDM jedoch wir diese in jedem Subnetz separat angesprochen.

  • Du kannst den Zugriff auf die UI Admin Seite auch verhindern indem du die Ports 443,80, 21 blockierst, dann geht zwar der ping noch, aber die UI Admin Seite wird blockiert


    Schau Dir das Video an ab Minute 17

    Unifi Network Complete Setup 2024
    In this video we do a full Unifi network complete setup for 2024. A lot has changed in the user interface since my 2023 video so make sure to check it out. U...
    youtu.be

    UDMPRO, 8Port PoE 150 Watt, AP-ACPro, Flex Mini 5Port Switch