Hallo zusammen,
nachdem Unifi vor einiger Zeit dies Geschichte rein gebracht hat, drängt sich bei mir immer mehr der Wunsch meine Firewall mal einmal richtig zu machen.... Zunächst einmal eine grobe Übersicht:
Default 192.168.0.0/24 (management)
VLAN10 192.168.10.0/24 (persönliche Geräte im Netzwerk PC Laptops, TVs Receiver etc)
VLAN50 192.168.50.0/24 IoT Geräte ohne Internetzugriff
VLAN80 192.168.80.0/24 dto zu 10 jedech für Mobilgeräte
VLan100 192.168.100.0/24 Gästenetz
+ VPN Netzwerke die zum einen über das UCG als auch extern (Wireguard auf einer Diskstation bzw auf einem PI)
Den Aufbau von Switch, AP etc erspare ich Euch, das ist ja hierfür nicht nötig. Lediglich der wichtige Hinweis, dass Oberfläche, Verwaltung und Routing über ein UCG Ultra realisiert werden, das sich hinter einer Fritte mit exposed host befindet.
Nun ist der ganze (Firewall) Bereich ordentlich gewachsen, d.h. ich habe z.b. das 50er Netz komplett vom Netz getrennt, im 10er Netz gibt es Geräte die nur bestimmte Ports nutzen dürfen, dann gibts Geräte die nur auf bestimmte zugreifen dürfen - alles andere ist blockiert .... um die paar wichtisten Sachen zu nennen usw ABER am Ende der Geschichte habe ich mich nie getraut einmal komplett ALLES andere zu blockieren und somit die Tür komplett dicht zu machen.
Meine Wunschliste würde z.B. beinahlten:
- Geräte es wie TV, Receiver, 3D Drucker so zu blockieren, dass alle meine Dienste, die ich nutze funktionieren, der Rest aber eben auch blockiert wird (hierzu könnten diese natürlich auch in ein eigenes VLAN) - Wenn sie im gleichen bleiben können auch ok (oder besser)
- Ich von meinem PC, Laptop und Mobilgerät Zugriff auf alle Geräte und überall habe ist andersherum natürlich nicht (Ohne Passwort - mit Zertif. Datei wäre natürlich ein Traum - aber das kommt später)
- Gewisse Geräte die sich im gleichen Netz befinden "müssen" aber dennoch weiter gesperrt werden müssen (bsw. 3D Drucker)
- Gastnetzwerk grundsätzlich als solcher funktioniert, jedoch vom Hauptpc der Zugriff auf Geräte in diesem Netz dennoch funktioniert
- .....
Natürlich wird mir mir niemand die Arbeit abnehmen (können) - oder wollen - oder Doch ? 
Aber ich würde mich tierisch über Anregungen freuen, wie ich jetzt am besten vorgehen kann ohne mich bsw auszusperren , gleichzeitig aber eben auch die "einfachste" Vorgehensweise wie ich am einfachsten mit loggen kann wo und wie, warum die Firewall blockt und somit eben auch einfacher entsprechende Punkte finde.
Falls noch mehr Infos nötig sind, nur zu .... ansonsten würde ich mich sehr über Anregungen / Ideen etc freuen.
Wer bis hierher gelesen hat: Vielen Dank bereits dafür 
VG
Andreas