Probleme Kommunikation zwischen VLANs mit Firewall Regeln

Es gibt 32 Antworten in diesem Thema, welches 8.411 mal aufgerufen wurde. Der letzte Beitrag () ist von jensche.

    Hi,


    das alleine reicht auch nicht.

    Geh mal Bsp. gemäß folgender Anleitung vor.

    Danach noch die Traffic Regeln und dann bist du schon sehr gut geschützt.

    Funktioniert für meine Bedarfe super.

    Telekom Hybrid > Speedport Pro Plus > UDMP (10 GbE) >

    USW-Pro-24-PoE (GbE) > 3x U6-Pro + UAP-AC-M + USW-Flex mini + USW-Lite-8-PoE

    USW-Pro-24-PoE (10 GbE) > UNVR-Pro (7x Cam + ViewPort)

    Danke 1
    Zitat von jensche

    Ich mache jetzt nicht Extra einen Thread auf. ich habe folgendes Problem:


    Intervlan Regel greift nicht. Ich sehe alle Geräte von anderen VLANs.


    Ich habe folgende Regel:


    Warum nicht ? Denkst du es ist besser nach ein paar Jaden einfach dein Problem drüber zu kippen das ggf.

    ein völlig anderes ist als das Ursprüngliche Thema von 2021 ?


    TIP:

    Kein Mensch weis ob du „Alle IP Adressen RFC1918“ richtig angelegt hast. Dazu fehlt das „Gesamt Bild"

    Denn ohne Kenntnisse der Reglen davor kann man nur ins blaue schießen und

    sagen das eine Reglen VOR dieser Regeln den traffic schon erlaubt und es nie zu der regeln kommt

    (Reglen werden von oben nach unten solange abgearbeitet bis eine zutrifft, folgende regeln werden Ignoriert da ja schon entschieden

    ein Paket zu Akzeptieren oder zu verwerfen)

    Ja du erlaubst auch den Verkehr in der zweiten Regeln.



    Again:

    Reglen werden von oben nach unten solange abgearbeitet bis eine zutrifft, folgende regeln werden Ignoriert da ja schon entschieden

    ein Paket zu Akzeptieren oder zu verwerfen


    Deine Reglen zu Blockieren sollte da eher ganz oben stehen, bzw direkt nach den regeln die dinge erlauben.

    Einfach mal alle "Erlaube" Regeln deaktivieren und nur die Blockierregel für VLAN übergreifenden Traffic aktiv lassen. Dann siehst Du ob die überhaupt greift. Tut sie es, dann nach und nach die "Erlaube" Regeln aktivieren und nah jeder neuen alles testen ... Irgendwo wird schon was falsch sein.

    Danke.


    Ich habe folgende Regeln (LAN In):

    – Erlaube etablierte Verbindungen

    – Erlaube Default VLAN auf Alle VLAN

    – Erlaube Alle IPs auf Drucker IP in iOT Vlan

    – Erlaube VPN User auf alle RCF1918

    – Ungültige Verbindungen löschen

    – Blocke, gesamte Kommunikation zwischen VLANs


    Zudem habe ich folgende Traffic Rules:

    – Alle Geräte haben zugriff auf iOT Drucker VLAN

    – Block, Alle Geräte auf Lokales Netzwerk (gesamter Traffice zu und von allen Lokalen Netzwerken)


    Bei den Traffic Rules weiss ich nicht wie und ob die sich überschneiden.

    Zitat von jensche

    Oder steh ich auf dem Schlauch?

    Ja ein wenig ?


    Also

    Reglen NR 1: Die Regel werden immer von Oben nach unten Abgearbeitet (Deswegen auch Firewall Cahin oder Ketten)

    Regeln NR 2: Sobald eine Regle zutrifft und entscheiden wird ob ACCEPT; DROP oder Reject *1) wird die Verarbeitung

    abgebrochen



    Daraus ergibt sich bei dir:


    Erlaube Von VLAN1 Cleint A nach VLAN2 Client B

    Erlaube Von VLAN2 Cleint c nach VLAN2 Client d

    Verbiete VLAn 1 nach Vlan 2


    Sprich Erlabe alles was erlaubt sein soll und mach den die Tür zu.

    Moin.


    Frage hast du dich mal ein bischen mit der Firewall und oder den Traffic Regeln genauer befasst?

    Dann liess dir bitte mal hier durch : Firewall von Unifi - Die Funktionsweise

    Dort steht auch drinn:


    In : Betrifft den Datenverkehr der aus dem Netzwerk kommt und über diese Schnittstelle für andere Netzwerke bestimmt ist,

    Out : Betrifft den Datenverkehr der aus andere Netzwerken stammt und über diese Schnittstelle für dieses Netzwerk bestimmt ist,

    Lokal : Betrifft den Datenverkehr der UDM / USG selbst.


    Das sollte als Grundverständnis dienen wie die Regeln funktionieren.

    Du hast nur Regeln für LAN In, die nur regeln was aus dem Netzwerk in die anderen Netze geht.

    Soll heissen du regelst nur was die, die schon im Haus sind machen dürfen ob raus oder rein, aber was dürfen die, die noch draussen sind?

    Für die gibt es keine Regel? Freifahrtsschein ?

    Ich hoffe du weisst vlt. worauf ich hinaus will?

    In deinem Fall betrifft das aber durch deine Frage die Netzwerke untereinander dieses wird intern geregelt und dafür gibt es LAN lokal.


    Dann gibt es verschiedene Beispiele für Firewallregeln im Wiki.

    Siehe hier : Firewall-Regeln 2.0 by defcon oder Firewall-Regeln____old!!!! by EJ

    Auch hier bei beiden stehen Regeln für LAN lokal drinn die auch wichtig sind.

    Du müsstest das dann nur auf deine Zwecke entsprechend einrichten.


    Auch ich habe solche Regeln eingebaut. Siehe hier : Firewall-Regeln by Naichbindas

    Erst das gesamte Paket wird dann wahrscheinlich den erfolg bringen bei dir.


    Zum Thema Traffic - Regeln by Naichbindas , ist das nur zur Erweiterung zu sehen. Das baut dann auf das vorhandene Grundgerüst der Firewall auf.

    Wenn du dort Regeln für Lokal Network einrichtest, dann beachte folgendes:


    "Derzeit gelten die Verkehrsregeln nur für die LAN-Schnittstellen und können keinen ausschließlich für das Gateway bestimmten Datenverkehr blockieren/zulassen. Diese Regeln können verwendet werden, um den Datenverkehr zu/von den LAN-Geräten zu blockieren/zuzulassen."


    Das hatt mir der unifi Support so mitgeteilt in einem Ticket. Die Firewallregeln können nicht durch Traffic Regeln ersetzt werden, sondern nur ergänzt.

    Ich hoffe dir hilft das weiter um das ganze zu verstehen und einzurichten.


    mfg

    Mann hat es nicht leicht, aber leicht hat es einen.. :face_with_tongue:

    Gefällt mir 1
    Zitat von jensche

    Bei den Traffic Rules weiss ich nicht wie und ob die sich überschneiden.

    Die kommen eigentlich VOR den Regeln. Hier ist dann aber so ne Sache

    weil LAN IN / LAN Out je nach stellen wo wir ein Paket reingetappt es schnell wirr und doff werden kann.


    Zitat von jensche

    da ich etablierte Verbindungen habe, kann ich diese nicht blocken da sie ja schon akzeptiert sind.

    Pauschal nicht so zu beantworten. Weil Details fehlen für die ganze Sicht der Dinge.

    Grade Statefuel Packet filtering (also dein Etablierte Regeln) wird OFT missverstanden und falsch benutzt.


    Es klingt auch ein wenig bei dir danach danach da will ich mich aber nicht festlegen weil wie gesagt

    Weis man ja nicht was genau in dieser regle drinnen seht und was du dafür getestet hast.


    Zitat von Naichbindas

    Die Firewallregeln können nicht durch Traffic Regeln ersetzt werden, sondern nur ergänzt.

    Ich hoffe dir hilft das weiter um das ganze zu verstehen und einzurichten.

    Alles landet mehr oder minder im Netfilter des Kernels. Schaut man sich die an (iptables)

    stellt man schnell fest das Traffic Rules in normalfall VOR den Firewallreglen in der Kette Liegen.


    Ein „ich erlaube A nach B“ bekommt damit eher einen Match und beendet die Verarbeitung

    und das Paket sieht die regeln für „ich verbiete A nach B“. Somit würde ich nicht sagen

    Ergänzt oder ersetzt sonder Traffic Rules haben Priorität gegen über den Normalen Rules.