Vielleicht antwortest du Dynamix mal darauf und wir findet evtl eine Lösung: Probleme mit Regeln und Portweiterleitung
Probleme mit Regeln und Portweiterleitung
-
- Frage
- Dream Machine Special Edition (UDM-SE)
- offen
- Privat
-
Dynamix -
February 26, 2025 at 8:34 PM
-
-
Hast du denn mal nur die Portweiterleitung und Region Blocking versucht? Das geht aus deinen Beiträgen noch nicht hervor.
Vielleicht antwortest du Dynamix mal darauf und wir findet evtl eine Lösung: Probleme mit Regeln und Portweiterleitung
Ja, ich habe den Port weiter geleitet und auch Regionen geblockt. Aber eben nicht alle Weltweit. Z.B. USA ist nicht in der generellen Länder-Blockade, da ich diese noch in anderem Punkt offen halten muss.
Die Überlegung geht ja eher dahin, dass ich den Zugriff immer weiter einschränke:
Also zu erst die Länder-Blockade. Dann zwar noch dieser Port offen, speziell diesen dann aber auch für den Zugriff aus der USA weiter einschränken. Die meisten Angriffe erfolgen nämlich auf diesen Port über die USA. Da ich ja den Ort des erlaubten Zugriffs auf Deutschland beschränken kann, schien mir das logisch. Das macht es zwar nicht "perfekt" sicher, das ist mir klar, aber es dürfte doch mindestens die Angriffsmöglichkeit etwas reduzieren.
Also, Länderblockaden: ja, aber nicht alles aussser Deutschland.
Dann in den FIrewall-Regeln der Versuch alle Länder ausser Deutschland zu blockieren.
Aber entweder funktioniert das nicht, weil die Portweiterleitung (viellieicht?) von der UDM anders (oder z.B. vorrangig?) gehandhabt wird, als die Firewallregeln oder ich mache vielleicht auch einfach was falsch. -
Display More
Ja, ich habe den Port weiter geleitet und auch Regionen geblockt. Aber eben nicht alle Weltweit. Z.B. USA ist nicht in der generellen Länder-Blockade, da ich diese noch in anderem Punkt offen halten muss.
Die Überlegung geht ja eher dahin, dass ich den Zugriff immer weiter einschränke:
Also zu erst die Länder-Blockade. Dann zwar noch dieser Port offen, speziell diesen dann aber auch für den Zugriff aus der USA weiter einschränken. Die meisten Angriffe erfolgen nämlich auf diesen Port über die USA. Da ich ja den Ort des erlaubten Zugriffs auf Deutschland beschränken kann, schien mir das logisch. Das macht es zwar nicht "perfekt" sicher, das ist mir klar, aber es dürfte doch mindestens die Angriffsmöglichkeit etwas reduzieren.
Also, Länderblockaden: ja, aber nicht alles aussser Deutschland.
Dann in den FIrewall-Regeln der Versuch alle Länder ausser Deutschland zu blockieren.
Aber entweder funktioniert das nicht, weil die Portweiterleitung (viellieicht?) von der UDM anders (oder z.B. vorrangig?) gehandhabt wird, als die Firewallregeln oder ich mache vielleicht auch einfach was falsch.Das mit dem Geoblocking machst du auch bei den Länderblockaden und nicht in der Firewall. Aber letzendlich wirst du nie alles blockieren können ohne massive Einschränkungen zu bekommen. IDS/IPS aktiv lassen, dann sollte das meiste eh dadurch geblockt werden. Wenn du eingehend alles außer Deutschland blockierst wirst du schnell merken das viele Dinge nicht mehr gehen.
-
Das mit dem Geoblocking machst du auch bei den Länderblockaden und nicht in der Firewall. Aber letzendlich wirst du nie alles blockieren können ohne massive Einschränkungen zu bekommen. IDS/IPS aktiv lassen, dann sollte das meiste eh dadurch geblockt werden. Wenn du eingehend alles außer Deutschland blockierst wirst du schnell merken das viele Dinge nicht mehr gehen.
Ja, genau. Das habe ich ja auch gemerkt. Somit habe ich in den Länderblockaden nur die Länder geblockt, wo ich sicher keinen Kontakt habe (China, usw.) oder nicht haben will. Bisher läuft damit alles, was laufen muss.
Nun geht es aber darum, beim Zugriff auf diesen einen Port noch wirklich alles, außer Deutschland zu blockieren. Das wird dann auch gehen, denn es geht ja nur um den einen Port.
Aber genau hier klappts eben nicht. Wenn ich eine solche Firewallregel aufsetze, dann ist der Zugriff auf diesen Port auch aus Deutschland im Anschluss nicht mehr möglich. Genau an dieser Stelle liegt also mein Problemchen. -
Dann poste mal ein paar Screenshots was du da eingerichtet hast.
-
Dann poste mal ein paar Screenshots was du da eingerichtet hast.
Ok. hier die betreffenden Bereiche
-
Die allow Regel steht vor oder nach der block?
-
Die allow Regel steht vor oder nach der block?
vor
-
Spannendes Thema, und ich hab keine Ahnung wie es aktuell bei Unifi mit der Zone Basierten Firewall ist. Aber Port Forwarding (DNAT) verhindert ja oft das bestimmte Regel ausgeführt werden.
(Du hast keine Router wie eine Fritz vor Deinem Unifi Gateway und Du hast Forwarding aktiviert ?)
Was mir einfällt, k.A. Ob es best practices ist, eine Regel für den Antworttraffic. Evt dazu die relevanten Geräte in eine eigene Zone.
Dann diese Zone nach external limitieren. Könnte aber dann aber evt auch Geräte updates Verhindern.
Eigentlich solltest Du die Block Regel gar nicht brauchen da am Schluss eine Block all traffic Regel kommt. (External-internal)
Wenn ich Dich richtig verstehe funktioniert der Zugriff ohne die allow Regel aber dann für alle Länder die nicht im Länderfilter komplett gefiltert wird ?
-
(Du hast keine Router wie eine Fritz vor Deinem Unifi Gateway und Du hast Forwarding aktiviert ?)
Ja, ich habe ein FritzBox. Da hängt aber die UDM direkt dran und dort ist bereits das Portforwarding auf den WAN-Port der UDM eingestellt. Dort ein weiteres Port-Forwarding auf den ABUS-Recorder.
Für sich funktioniert das auch. Nur eben diese Blockierung auf Länder-Ebene schaltet dann ab.Wenn ich Dich richtig verstehe funktioniert der Zugriff ohne die allow Regel aber dann für alle Länder die nicht im Länderfilter komplett gefiltert wird ?
Ja, genau.
-
Es gibt wohl auch eine Möglichkeit von der Fritzbox direkt auf Netzwerke zuzugreifen. Es gibt hier ein paar threads zum thema das doppeltes nat durch eine statisches routing zu ersetzten. Evt kannst Du dann auf die DNAT Regel verzichten und viellecht greift dann die Regeln korrekt.
Für mich sieht sie korrekt aus aber wenn das Aktivieren den traffic blokiert scheint es ja ein Problem damit zu geben. Kannst Du sehen welche source IPs durchkommen wenn wenn die Regel nicht aktive ist. Evt könnte hier ein versetecktes SNAT diese verändern. Evt z.B. eine lokal IP statt eine deutsche?
-
Es gibt wohl auch eine Möglichkeit von der Fritzbox direkt auf Netzwerke zuzugreifen. Es gibt hier ein paar threads zum thema das doppeltes nat durch eine statisches routing zu ersetzten. Evt kannst Du dann auf die DNAT Regel verzichten und viellecht greift dann die Regeln korrekt.
Für mich sieht sie korrekt aus aber wenn das Aktivieren den traffic blokiert scheint es ja ein Problem damit zu geben. Kannst Du sehen welche source IPs durchkommen wenn wenn die Regel nicht aktive ist. Evt könnte hier ein versetecktes SNAT diese verändern. Evt z.B. eine lokal IP statt eine deutsche?
Das mit dem direkten Zugriff der Friz also durch einfaches NAT habe ich gelesen. Ich hatte bisher (für mich) keinen Vorteil darin gesehen, das so anzuschließen, da ja sonst alles problemlos läuft und ich dann ja wieder die Frtiz damit zum DHCP mache, wenn ich das richtig gesehen hatte. Genau das wollte ich eigentlich nicht. Lieber alles an einer Stelle. Aber ich schaue nochmal und werde das die Tage mal testweise umschalten - vielleicht wirkt sich das ja dann wirklich an der Firewall negativ aus.
Participate now!
Don’t have an account yet? Register yourself now and be a part of our community!