Root-Server im internen VLAN soll keinen Zugriff auf andere Geräte haben

Diese Webseite finanziert sich ausschließlich durch freiwillige Spenden. Dank der Unterstützung unserer Nutzer können wir die Inhalte werbefrei und unabhängig anbieten. Jetzt Unterstützen

    Hallo zusammen,

    ich habe ein Problem mit meiner Firewall-Konfiguration in UniFi (neueste Version, UDM-Pro Max, Zone-Based Firewall aktiviert):

    Ich möchte einem Gerät in meinem internen Netzwerk (ein Root-Server, läuft auf Proxmox, feste IP z. B. 192.168.25.227) den Zugriff auf alle anderen internen Geräte entziehen – also z. B. keine Verbindung mehr zu meinem PC, NAS, Drucker, SMB-Freigaben, Webserver usw.

    Ziel:

    • Der Server soll weiterhin ins Internet kommen
    • Aber keine anderen internen Geräte erreichen dürfen
    • Geräte sollen weiterhin mit dem Server kommunizieren können, falls nötig

    Was ich bisher gemacht habe:

    • Zone-Based Firewall aktiviert
    • Eine Regel erstellt:
      • Source Zone: Internal
      • Source IP: 192.168.25.227
      • Destination Zone: Internal
      • Destination IP: 192.168.25.0/24
      • Action: Block
    • Regel ganz nach oben geschoben (über allen Allow-Regeln)

    Problem:
    Trotzdem kann ich vom Server weiterhin z. B. meinen PC oder das NAS über SMB aufrufen. Die Regel scheint ignoriert zu werden.

    Hat Jemand eine Idee was ich noch machen kann?

    Ich freue mich über jeden Tipp!
    Vielen Dank 😊

    Moin,

    Stichwort elementare Grundlagen:

    Traffic im gleichen VLAN genauer Traffic im gleichen IP Netz (bei die also192.168.25.0/24) bedarf keinen Router.
    das geht direkt per ARP Request auf die MAC des Ziel Host. Nennt sich dann weitläufig "L2" traffic.

    Deine Firewall kann aber erst greifen wenn der Traffic von IP Netz A ins Netz B soll (vällig egal ob das nun Internet oder was lokales ist)

    Lösungen:

    Deinen Server in ein eignes VLAN verschieben (bevorzugt)
    oder
    Switche Verwenden die ACL unterstützen und damit was verbieten (ACLs sind L2 Filter)


    Interessant. Ich habe jetzt hier mal versucht eine ACL Regel aufzustellen, das bringt leider aber nichts.
    Ein getrenntes, neues VLan zu erstellen geht auch nicht, da Ich auf einer Proxmox VM mehrere Server habe und dies einen von denen betrifft. Also der Server hat nur einen LAN Port. Oder kann man einzelnen Clients VLans zuweisen?

    Quote from Tilomaster

    Interessant. Ich habe jetzt hier mal versucht eine ACL Regel aufzustellen, das bringt leider aber nichts.

    Sagte ja "Switche die das unterstützen".

    Quote from Tilomaster

    Ein getrenntes, neues VLan zu erstellen geht auch nicht, da Ich auf einer Proxmox VM mehrere Server habe und dies einen von denen betrifft.

    Hab keine Aktien in Promox.. aber der kann wie alle anderen sehr gut mit VLAN umgehen und das auch per Giest ein anderen als zugriff zuweisen.

    Tilomaster ... zum Stichwort Proxmox: Dein Root server läuft (nehme ich an) in einer eigenen VM. Du brauchst mehrere Netzwerk Ports auf deiner Proxmox HW. Weise einem dedizierten (physischen) Port dieser VM zu (in den Einstellung der VM). Dann hast Du eine VM/Netzwerk die Du in einem eigenen VLAN setzten kannst und dann kannst Du darauf FW Regeln laufen lassen.

    Quote from AlexSegg

    Du brauchst mehrere Netzwerk Ports auf deiner Proxmox HW.

    Die 90er haben angerufen und wollen ihren oldschool Ansatz zurück. Mag daheim Funktionieren, aber wenn du erstmal 6-7 VM
    hast die in unterschiedlichen VLAN sei sollen will du weder da keine Netzwerkarten reinstopfen und und auch kein Kabel Wurst
    zu einem Switch haben.

    VLAN Richtig einstellen auf dem HOST und dann die VLAN den Guest zuweisen, fertig.

    Man kann doch auch ohne Probleme im Proxmox VLANs erstellen...

    Gruß

    defcon

    Mein HomeLab

    | 1&1 Fiber 500 |

    | Luleey DFP-34X-2C2 - SFP ONT |

    | UXG-Pro |

    | 1x USW-Aggregation | 1x USW-Pro-24 | 1x USW-Pro-24-PoE | 2x USW Flex |

    | 1x U6 Pro | 1x U6+ | 1x U6 Lite | 1x UAP AC M |

    | 1x UNVR mit 3x 6TB WD Purple | 4x G5 Bullet | 2x G5 Flex | 1x G3 Instant |

    | Eigenbau-Server (Xeon E3-1230Lv3, 32GB DDR3 ECC - mit einigen VMs & LXCs (u.a. UniFiOS Server) |

    | RaspberryPi3 mit HyperHDR und SK6812 RGB-CW an WLED für's TV Erlebnis |


    :double_exclamation_mark: Zum Projekt Thread :double_exclamation_mark:

    Quote from defcon

    Man kann doch auch ohne Probleme im Proxmox VLANs erstellen...

    Das geht problemlos.

    Mein Proxmox bekommt einen Trunk mit allen VLAN's drin und der Proxmox selber ist per Netzwerk-Konfig auf das Server-VLAN gesetzt und die VM's bzuw LXC's eben dann über deren Netzwerkeinstellungen auch auf das jeweils VLAN wo die rein sollen - Unifi-Controller als LXC auf das Management-Netz.

    Ich hatte sogar schon einen LXC, der Netzwerkkarten in allen VLAN's hatte ( PiAlert ), damit er die Netze scannen kann - nutze ich mittlerweile aber nicht mehr.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login