Verständnisfrage Firewall

    Ich habe heute auf die neue Zone Based Firewall umgestellt und möchte eine Regel erstellen für einen Client und zwar folgendes:

    Der Client mit der IP 192.168.1.227 soll zugriff haben auf:

    Internet

    Der Client soll aber keinen Zugriff haben auf die Geräte im selben VLAN (Main) haben.

    Dazu habe ich folgende Regel erstellt:

    Im Browser kann ich nun aber trotzdem zum Beispiel 192.168.1.50 zugreifen. Auch ein Ping der anderen Geräte im Main VLAN ist möglich.

    Was mache ich hier falsch?

    Außerdem kann man nun in der neuen Zone Based Firewall die Regeln nicht mehr verschieben. Ist das etwa nicht mehr nötig? Werden die Regeln nicht mehr von oben nach unten durch gegangen?

    Das funktioinert nicht, da die Pakete im selben Netzwerk (VLAN) gar nicht über das Gateway / Router müssen.

    Wenn Du das zwingend umsetzen möchtest, dann kannst Du dem Gerät ein eigenes VLAN vergeben. Per WLAN kann man noch die direkte Kommunikation untereinander innerhalb eines Netzwerks verbieten. Dann müsstest Du diese aber für alle anderen Geräte wieder freigeben.

    Im Management VLAN sollten sich nur Geräte von UNifi und vielleicht noch allgemeine Netzwerkgeräte befinden.

    Hmmm.. ok, das war mir so nicht bewusst. Dachte der Trafic läuft immer übers Gateway.

    Mein Problem ist:

    Ich habe meinen VM Host (einer meiner Macs) im Main VLAN. Das soll auch so sein. Nun habe ich auf dem Host (eben diesem Mac) eine VM mit einem Bridged Adapter laufen. Die VM bekommt dann natürlich eine IP im Main VLAN. Dieser IP möchte ich keinen zugriff auf die anderen Geräte im Main erlauben.

    Ich dachte das würde gehen, dass man die Geräte auch im eigenen VLAN irgendwie von einander isolieren kann.

    Dann müsste ich wohl den WLAN Adapter vom Host bridgen und den Host übers WLAN in ein eigenen VLAN geben. Da verliere ich dann aber einen andere sehr praktische Funktion: Entsperren des Mac mit der Apple Watch.

    External Content beta.ubiquiti-networks-forum.de
    Content embedded from external sources will not be displayed without your consent.
    Quote from Peterfido

    Als VM Host nutze ich proxmox auf einem Intel NUC. Auf diesem kommt der volle Trunk an und ich kann einzelnen VMs ein bestimmtes VLAN zuweisen.

    Ich hab jetzt mal testweise einen Proxmox Server aufgesetzt. Nun kann ich ja bei einer neuen VM ein VLAN Tag eingeben.

    Gebe ich hier dann die ID meines VLANs ein?

    Muss der Proxmox Server an einem Port eines Managed Switch dran sein, damit das dann klappt, oder kann der auch an einem unmanged Switch hängen? (Ich vermute mal: Nein

    External Content beta.ubiquiti-networks-forum.de
    Content embedded from external sources will not be displayed without your consent.

    )

    Quote from gegy

    Nun gut, dann muss ich vorerst die VM mal mit dem Netzwerk reden lassen bis ich eine bessere Lösung dafür finde.

    Welche OS hast Du denn auf dem Gast installiert? Das gibt es bestimmt auch 'ne Host-Firewall, mit der man die Kommunikation beeinflussen kann. Das sollte mittlerweile jedes OS können.

    Achtung: nicht die Kommunikation zum Gateway verbieten. Dann kommt der Client nicht ins Internet.

    External Content beta.ubiquiti-networks-forum.de
    Content embedded from external sources will not be displayed without your consent.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login