Gäste WLAN - via Firewall nur! HTTP/HTTPS erlauben?

Es gibt 12 Antworten in diesem Thema, welches 3.722 mal aufgerufen wurde. Der letzte Beitrag () ist von amaskus.

    Hallo,


    ich habe hier eine UDM Pro, ein Gäste WLAN (VLAN) eingerichtet. Soweit so gut.


    Leider bekomme ich es nicht hin, sämtliche Ports außer 80 + 443 dort zu sperren.


    Hat da jemand einen Tipp für mich?


    Vielen Dank!


    Gesendet von meinem POCOPHONE F1 mit Tapatalk

    Hi!


    Warum willst Du sämtliche Ports in einem Gäste-WLAN sperren?


    Was willst Du verhindert? Welches Ziel willst Du erreichen?


    Gruß!

    <p>Hi,</p><p><br></p><p>der Sinn ist, die Gäste ausschließlich surfen zu lassen.</p><p><br></p><p>Alles andere ist nicht erwünscht, wozu sollen Gäste eine SSH oder FTP Sitzung aufmachen, wenn sie bei mir im Gäste WLAN sind?</p><p><br></p><p>Ach so, was habe ich bisher gemacht: VLAN erstellt, Gaststeuerung aktiviert und eine "Allow-Regel" für HTTP/HTTPS erstellt.</p><p><br></p><p>Gruß</p><p><br></p><p>Gesendet von meinem POCOPHONE F1 mit Tapatalk</p>

    Moin,


    Evtl Solltest du 53 noch freigeben für DNS - falls die mal extern fragen müssen


    Plus E-Mail (SMTP, IMAP, POP3)


    Denk an Messenger usw da wird vieles nicht mehr funktionieren.


    War selbst schon in der situation, dass ich bei jemandem zu Besuch war und hatte einen beruflichen dringenden Fall - musste dann auch erstmal nach ein paar ports bitten damit die VPN läuft. - Ist dann halt blöd wenn du nicht zu hause bist und nicht helfen kannst.


    LG

    Mein Projekt

    Gefällt mir 1

    Was amaskus schreibt, ist ein gutes Beispiel für die Nachteile, die Port-Beschränkungen mit sich bringen.


    Willst Du Dein Gäste-Netzwerk isolieren?


    Gruß!

    <p>Hi,</p><p><br></p><p>ok Danke für die Meinungen erstmal.</p><p><br></p><p>Also wären die Mindestports die Ihr empfehlt, welche?</p><p><br></p><p>53<br>80<br>443<br>...?</p><p><br></p><p>Muss ich erst *alles* verbieten und im Nachhinein dann die gewünschten Ports freigeben?</p><p><br></p><p>Gruß</p><p><br></p><p>Gesendet von meinem POCOPHONE F1 mit Tapatalk</p>

    Hier hast du ne fixe übersicht


    http://www.svenbergemann.de/2017/09/10/54


    also freigeben würde ich auf jeden fall folgende Protokolle


    DNS, HTTP, HTTPS, SMTP, IMAP, NTP


    Plus deren SSL varianten


    Dazu würden dann Messenger oder andere software kommen evtl SIP / Wifi Call usw


    Erweiterte Portübersicht: https://support.apple.com/de-de/HT202944

    Mein Projekt

    Gefällt mir 1

    Danke,


    nochmal die Frage zur Vorgehensweise:


    Muss ich erst alles verbieten, dann erlauben? Ähnlich Iptables?


    Gruß


    Gesendet von meinem POCOPHONE F1 mit Tapatalk

    Ich glaube ja.


    Komme gerade nicht an meine settings - erst heute abend - dann schau ich mal nach

    Mein Projekt

    Gefällt mir 1

    So habe geschaut.


    Ich kann die Default rules nicht bearbeiten oder bewegen (damit muss ich mich irgendwann noch mal beschäftigen)


    Aber von der Logik setzt du erst die regeln mit den Ports die du erlauben willst und danach eine Drop all regel.

    Mein Projekt

    Gefällt mir 1

    siepel


    So sollte es gemacht werden! Die Zugriffe auf andere Gateway's und Subnetze müssen unterbunden werden!


    Deshalb fragte ich nach dem Ziel welches erreicht werden soll!


    Erst wenn klar ist was erreicht werden soll, kann getan werden, was notwendig ist!!!


    axel


    Definiere Dein Ziel! Dann geben wir Dir zielführende Hinweise für die Firewall-Rules, die Du benötigst!


    Gruß!

    Einmal editiert, zuletzt von EJHome ()

    Gefällt mir 2

    Also selbst würde ich es auch nicht machen :winking_face:

    Mein Projekt

    Gefällt mir 1