Probleme mit Regeln und Portweiterleitung

Diese Webseite finanziert sich ausschließlich durch freiwillige Spenden. Dank der Unterstützung unserer Nutzer können wir die Inhalte werbefrei und unabhängig anbieten. Jetzt Unterstützen

    Hallo allerseits,

    bin relativ neu in diesem Thema und habe da durchaus noch Verständnisprobleme, aber vielleicht kann mir hier jemand helfen...

    Ich habe eine UDM und diese schon auf die Zone Based-Firewall aktualisiert.

    Für einen einzelnen PC habe ich eie Portweiterleitung eingerichtet.

    Soweit so gut.

    Nun kommt es jeden Tag zu Threat-Meldungen, weil vor allem aus dem Ausland z.B. Portscans auf diesen Port laufen.

    Ich greife auf diesen Port ausschließlich aus Deutschland zu.

    In der Konfuration der Portweiterleitung, kann ich leider keine Zugriffsländer festlegen.

    Nun war die Idee, eine Regel zu definieren, die Zugriffe aus allen Ländern auf die IP dieses PCs komplett verbietet. Das klappt auch soweit.

    Nu wäre der nächste Schritt Zugriffe ausschließlich aus Deutschland und zwar nur auf diesen einen Port wieder zu erlauben. Das klappt aber nicht.

    Ich denke, hier liegt genau mein Verständnisproblem und ich mache was falsch.

    Hat jemand da eine einfache Erklärung, wie ich das einzurichten hätte?

    Danke für die Hife schon mal.

    VG,

    Micha

    Lass den Port zu und richte dir eine VPN ein. Den Zugriff mit der Source auf "Deutschland" zu beschränken macht es auch nicht sicher.

    Ich wüsste auch gar nicht an welcher Stelle der Firewall Du Source Länder ins Spiel bringen kannst. Das was Du wahrscheinlich gemacht hast, ist eine Portweiterleitung angelegt (das führt zu einer automatischen Firewallregel, die das erlaubt) und dann hast Du einfach eine Regel dazu gepackt die für Any als Source die automatische Regel wieder außer Kraft setzt.

    Das einzige was man da machen könnte, wäre sich auf einen deutschen Provider zu beschränken und dessen Netze als Source zu verwenden. Das kannst Du dann auch gleich beim Portforward erledigen.

    Was auch gehen müsste ist, das Regions Blocking auf Allow Germany und incomming zu stellen.

    Das mit der VPN bringt mich hier nicht weiter. Der Port muss aus Deutschland erreichbar sein, sonst funktioniert eine bestimmte App nicht.

    Die Ländersperren allgemein existieren in den Einstellungen -> Sicherheit -> Schutz
    Weitere kann man dann aber für einzelne Regeln einrichten.

    Ja, die Regel entstand durch den Müpunkt der Anschlussweiterleitung. Leider lässt diese sich im Nachhinein dann nicht mehr editieren.

    Es gibt auch im Portforwarding selbst keine Möglichkeit Länder zu beschränken.

    Somit war die Idee im Nachgang diese Öffnung einfach durch eine übergeordnete Regel wieder weiter einzuschränken.

    Ich habe also generell alle Länder (China, usw.) mit denen ich gesichert nichts zu tun habe, schon mal unter Sicherheit geblockt.

    Aber es gibt ja schon Länder, mit denen man im Alltag in Berührung kommt. Also USA, usw.

    In den Threats kann ich dann aber sehen, dass es viele Angriffe auf diesen Port gibt, allerdings fast nichts aus Deutschland.

    Die zusätzliche Regel sollte dann eben nur beim Zugriff von aussen auf diesen einen Port alles ausser Zugriffe aus Deutschland schließen.

    Das ist natürlich nicht der perfekte Schutz, aber besser als nichts.

    Ja, aber das ist für dieses Thema nicht so entscheidend.
    Leider bekomme ich diese Einschränkung per Regeln immer noch nicht hin. Ich bin nicht sicher, ob die Portweiterleitung vielleicht "anders" abgefrühstückt wird, als die restlichen Regeln. Fakt ist, es scheint irgendwie nur "an" oder "aus" (je nach Reihenfolge der Regeln zu geben. Diese Zwischenlösung die ich anstrebe versagt den Dienst.

    Von welchen Regeln redest Du eigentlich permanent? Dir kann hier niemand was sagen wenn Du nicht mal konkret zeigst, wo Du überhaupt was konfigurierst.

    Wenn Du z.B. von policy based routing Regeln redest, dann haben die mit dem Portforwading erstmal nicht so rasend viel zu tun.

    Quote from Dynamix

    Das mit der VPN bringt mich hier nicht weiter. Der Port muss aus Deutschland erreichbar sein, sonst funktioniert eine bestimmte App nicht.

    Von welcher App reden wir hier.

    Da gebe ich aber auch DoPe recht, nimm VPN.

    Damit geht auch deine App die nur aus Deutschland erreichbar sein muss.

    DoPe Tatsächlich gibt es Dinste die dann nicht mehr gehen würden wenn du Amerika ausperrst.

    Synology Dienste zum Beispiel.

    Aber es gibt ja noch den Relay Dienst .... 8o

    Mann hat es nicht leicht, aber leicht hat es einen.. :P

    Also, eine APP ist

    Quote from DoPe

    Von welchen Regeln redest Du eigentlich permanent? Dir kann hier niemand was sagen wenn Du nicht mal konkret zeigst, wo Du überhaupt was konfigurierst.

    Wenn Du z.B. von policy based routing Regeln redest, dann haben die mit dem Portforwading erstmal nicht so rasend viel zu tun.

    Von den Firewall Regeln in der Zone Based Firewall...

    Quote from Naichbindas

    Von welcher App reden wir hier.

    Da gebe ich aber auch DoPe recht, nimm VPN.

    Damit geht auch deine App die nur aus Deutschland erreichbar sein muss.

    8o

    Nein, VPN-Einwahl geht nicht, denn es ist eine Kamera-App mit der mehrere User von außen auf Kameras zugreifen. Diese können sich nicht erst per VPN einwählen.

    Im Kern möchte ich ja nur wissen, ob wenn eine (zunächst weltweit erreichbare) Portweiterleitung eingerichtet habe, es eine Möglichkeit gibt, alle Länder ausser Deutschland von diesem weiter geleiteten Port wieder auszusperren und wie das dann einzurichten wäre? Wie gesagt; meine Versuche endeten immer in entweder ganz auf, oder ganz zu.

    Quote from Dynamix

    Nein, VPN-Einwahl geht nicht, denn es ist eine Kamera-App mit der mehrere User von außen auf Kameras zugreifen. Diese können sich nicht erst per VPN einwählen.

    Doch können sie. Es bräuchte pro User eine VPN Einwahl, diese kann man einfach selber ein und aus schalten und dann die APP benutzen.

    Die meisten Kameras meines Wissens nutzen Ihre eigene Cloud da reicht doch fast immer nur eine internetverbindung für die Kamera.

    Quote from Dynamix

    Im Kern möchte ich ja nur wissen, ob wenn eine (zunächst weltweit erreichbare) Portweiterleitung eingerichtet habe, es eine Möglichkeit gibt, alle Länder ausser Deutschland von diesem weiter geleiteten Port wieder auszusperren und wie das dann einzurichten wäre? Wie gesagt; meine Versuche endeten immer in entweder ganz auf, oder ganz zu.

    Du hast drei Möglichkeiten, wie gut die funktionieren kann ich dir auch nicht ganz sagen weil ich das so nicht im Betrieb habe.

    1. Möglichkeit:

    Wenn du einen Flow hast der dir gemeldet wird dann gehe da drauf und unten kannst du das den entsprechen behandeln.

    2. Möglichkeit:

    Du kannst allgemein in der Unifi das einstellen für beide Richtungen, oder ein bzw., ausgehend.

    Hier kannst du aber nur entweder blockieren oder zulassen auswählen.

    Das heist eine Blocliste und eine Zulassenliste sind hier nicht gleichzeitig möglich.

    Da kann ich dir aber sagen das diese sogenannten Angriffe dieses nicht abhält.

    3. Möglichkeit:

    Du kannst eine Regel erstellen.

    Zum Beispiel von Internal zu External.

    Das wäre dann ausgehend.

    Oder,

    Du kannst eine Regel erstellen.

    Zum Beispiel von External zu Internal.

    Das wäre dann eingehend.

    Zum Schluss sei noch gesagt. Jedes Loch das in die Firewall kommt mit Portweiterleitungen wird immer ein Risiko bleiben.

    Mann hat es nicht leicht, aber leicht hat es einen.. :P

    Naja, ich glaube ich habe das nicht gut genug erklärt, denn es scheint wir reden leider aneinander vorbei...

    Also VPN geht nicht. Die User sind wechselnd und ich kann nicht immer bei den Leuten eine VPN-Einwahl einrichten. Das muss unkompliziert gehen.
    Aber ist wie gesagt auch hier gar nicht relevant.

    Bzgl. der Lösungsansätze:
    Das geht leider so nicht. Lösung 1. wäre immer für die gerade gemeldete IP. Das wäre ja quasi endlos und ist ein Katz- und Mausspiel, weil das jeden Tag andere IPs sind.

    Das mit den Regeln ist ja genau mein Problem. Das greift irgendwie nicht.
    Und zwar:
    Portweiterleitung erlaubt den Zugriff von draussen auf diesen einen Port. Das geht zunächst aus jedem Land.
    Also blockiere ich per Firewall Regel alle Länder und erlaube dann den Zugriff auf diesen Port aus Deutschland.

    Quote from Networker

    Ich versuche es noch ein drittes (und letztes) Mal: Nutze das Region Blocking, welches DoPe Dir schon in Beitrag #2 genannt hat!

    Das habe ich aber auch schon drei Mal erklärt: das habe ich doch und es funktioniert nicht. Das ist doch genau der Grund meiner Anfrage hier!

    Quote from Networker

    Nein, hast Du nicht, Du hast immer von "Regeln" geschrieben. Und mit Firewallregeln hat es halt nichts zu tun.

    Oh, man, ich dachte hier bekommt man auch als Einsteiger ernsthafte Hilfe... Statt dessen Erbsenzählerei, Hinterfragung der Dinge die man vor hat, obwohl das mit der grundsätzlichen Frage nichts zu tun hat. Ok. Schon kapiert hier bleiben Nerds lieber unter sich. Dann ist es ok. und ich suche mir ein anderes Forum, wo die Leute statt ihren Frust abzuladen hilfsbereiter sind.

    Schönen Tag noch!

    Hier hat noch jeder freundlich und kompetent Hilfe bekommen, wenn er oder sie sich selber Mühe gegeben hat.

    Es ist halt ermüdend und frustrierend, wenn man versucht zu helfen und seitens des Hilfesuchenden nicht mal auf Vorschläge reagiert wird.

    Einsteiger zu sein ist keine Schande und niemand hier bildet sich etwas auf sein Wissen ein. Aber auch ein Einsteiger kann und muss verstehen, dass es insbesondere bei technischen Themen unerlässlich ist, eine gewisse Genauigkeit an den Tag zu legen. Dabei geht es nicht um Erbsenzählerei, sondern weil man ansonsten pausenlos aneinander vorbei redet und absolut nichts Sinnvolles dabei heraus kommen kann.

    Ich wünsche dir viel Glück in anderen Foren, kann Dir aber voraussagen, dass du diese Thematiken überall vorfinden wirst.

    Hast du denn mal nur die Portweiterleitung und Region Blocking versucht? Das geht aus deinen Beiträgen noch nicht hervor.

    Mein Netzwerk

    Internet:

    Glasfaser TNG 1 Gigabit Synchron

    Speedtest

    Unifi Komponenten:

    UCG Fiber

    USW-Lite-8-PoE

    3x USW-Flex-Mini

    UAP-AC-Lite

    2x U6-Lite

    UVC-G3-FLEX

    2x UVC-G3-Instant

    1x UVC-G4-Instant

    UVC-G5-Bullet

    Sonstige Hardware:

    QNAP TS-453a als Backup

    Thinkstation mit Unraid, VM 3CX, Pihole + Unbound, Home Assistant usw.

    PC mit Ryzen 3700x, 16GB 3200 Ram, Ati Radeon 5700X, 2x M.2 SSD und 1x SATA SSD

    Aus der Zeit, wo ich noch eine eigene Homepage für einen kleinen Kreis genutzt hatte, weiß ich Folgendes:

    Wenn ein Server aus dem Internet erreichbar ist, wird dieser gefühlt kontinuierlich gescannt. Laut den Log-Dateien sind viele Deeplinks probiert worden.

    IP-Adressen nur aus Deutschland zuzulassen, hatte ich mit einer Liste von IP-Adressen in der.htaccess vom Server gelöst. Dadurch, dass bei jedem angefragten Inhalt (html, viele nachgeladene css, gif, jpg, etc.) die Liste durchgegangen wird, wurde die Seite total träge. Das erste Mal im Urlaub hatte ich mich selbst ausgesperrt. - Sind Deine Besucher nie außerhalb Deutschlands unterwegs? - Heutzutage liegt es nicht nur an IPv6, dass man da nicht genau sagen kann, woher eine IP-Adresse kommt. Nutzt man Komfort-Funktionen im Browser, wie komprimierte Daten, dann holt evtl. Google die Daten vorher ab, um diese dann komprimiert ans Handy zu senden. Anwender über einen VPN Dienst werden wohl auch ausgesperrt.

    Der Anwendungsfall hier ist mir nicht ganz klar. Daher nehme ich an, es sollen Besucher z.B. auf mehrere Webcams zugreifen können. Am sichersten wäre wohl ein kleiner vServer, wo die Webcams die Bilder ablegen und die Besucher diese holen.

    Leute.... kommt mal zum Thema zurück. Das gezicke hilft niemandem.

    Mein Netzwerk

    Internet:

    Glasfaser TNG 1 Gigabit Synchron

    Speedtest

    Unifi Komponenten:

    UCG Fiber

    USW-Lite-8-PoE

    3x USW-Flex-Mini

    UAP-AC-Lite

    2x U6-Lite

    UVC-G3-FLEX

    2x UVC-G3-Instant

    1x UVC-G4-Instant

    UVC-G5-Bullet

    Sonstige Hardware:

    QNAP TS-453a als Backup

    Thinkstation mit Unraid, VM 3CX, Pihole + Unbound, Home Assistant usw.

    PC mit Ryzen 3700x, 16GB 3200 Ram, Ati Radeon 5700X, 2x M.2 SSD und 1x SATA SSD

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login