Probleme Kommunikation zwischen VLANs mit Firewall Regeln
-
- integriert
- Problem
- Dream Machine Pro (UDM-Pro)
- offen
- mille
Es gibt 32 Antworten in diesem Thema, welches 11.955 mal aufgerufen wurde. Der letzte Beitrag () ist von jensche.
-
-
Ich mache jetzt nicht Extra einen Thread auf. ich habe folgendes Problem:
Intervlan Regel greift nicht. Ich sehe alle Geräte von anderen VLANs.
Ich habe folgende Regel:Warum nicht ? Denkst du es ist besser nach ein paar Jaden einfach dein Problem drüber zu kippen das ggf.
ein völlig anderes ist als das Ursprüngliche Thema von 2021 ?
TIP:
Kein Mensch weis ob du „Alle IP Adressen RFC1918“ richtig angelegt hast. Dazu fehlt das „Gesamt Bild"
Denn ohne Kenntnisse der Reglen davor kann man nur ins blaue schießen und
sagen das eine Reglen VOR dieser Regeln den traffic schon erlaubt und es nie zu der regeln kommt
(Reglen werden von oben nach unten solange abgearbeitet bis eine zutrifft, folgende regeln werden Ignoriert da ja schon entschieden
ein Paket zu Akzeptieren oder zu verwerfen)
-
-
So. ich habe mal das so eingerichtet. Irgendwie sehe ich aber immer noch Alle Geräte von allen VLANs. Was eigentlich nicht sein sollte.
hier meine Regeln und traffic Einstellungen.
-
Ja du erlaubst auch den Verkehr in der zweiten Regeln.
Again:
Reglen werden von oben nach unten solange abgearbeitet bis eine zutrifft, folgende regeln werden Ignoriert da ja schon entschieden
ein Paket zu Akzeptieren oder zu verwerfen
Deine Reglen zu Blockieren sollte da eher ganz oben stehen, bzw direkt nach den regeln die dinge erlauben.
-
Danke. Aber wenn ich ein Drop so weit oben habe, dann bringen mir die anderen Regeln danach ja nichts mehr. Oder steh ich auf dem Schlauch?
Wie erreiche ich es dann dass die Geräte in verschiedenen VLAN sich NICHT sehen?
-
Einfach mal alle "Erlaube" Regeln deaktivieren und nur die Blockierregel für VLAN übergreifenden Traffic aktiv lassen. Dann siehst Du ob die überhaupt greift. Tut sie es, dann nach und nach die "Erlaube" Regeln aktivieren und nah jeder neuen alles testen ... Irgendwo wird schon was falsch sein.
-
Danke.
Ich habe folgende Regeln (LAN In):
– Erlaube etablierte Verbindungen
– Erlaube Default VLAN auf Alle VLAN
– Erlaube Alle IPs auf Drucker IP in iOT Vlan
– Erlaube VPN User auf alle RCF1918
– Ungültige Verbindungen löschen
– Blocke, gesamte Kommunikation zwischen VLANs
Zudem habe ich folgende Traffic Rules:
– Alle Geräte haben zugriff auf iOT Drucker VLAN
– Block, Alle Geräte auf Lokales Netzwerk (gesamter Traffice zu und von allen Lokalen Netzwerken)
Bei den Traffic Rules weiss ich nicht wie und ob die sich überschneiden.
-
Oder steh ich auf dem Schlauch?
Ja ein wenig ?
Also
Reglen NR 1: Die Regel werden immer von Oben nach unten Abgearbeitet (Deswegen auch Firewall Cahin oder Ketten)
Regeln NR 2: Sobald eine Regle zutrifft und entscheiden wird ob ACCEPT; DROP oder Reject *1) wird die Verarbeitung
abgebrochen
Daraus ergibt sich bei dir:
Erlaube Von VLAN1 Cleint A nach VLAN2 Client B
Erlaube Von VLAN2 Cleint c nach VLAN2 Client d
Verbiete VLAn 1 nach Vlan 2
Sprich Erlabe alles was erlaubt sein soll und mach den die Tür zu.
-
Okok. Das heisst in meinem Fall, da ich etablierte Verbindungen habe, kann ich diese nicht blocken da sie ja schon akzeptiert sind.
Meine Logik war da: Etablierte verbindungen erlauben, etablierte Verbindungen dürfen nicht in andere VLANs.
-
Moin.
Frage hast du dich mal ein bischen mit der Firewall und oder den Traffic Regeln genauer befasst?
Dann liess dir bitte mal hier durch : Firewall von Unifi - Die Funktionsweise
Dort steht auch drinn:
In : Betrifft den Datenverkehr der aus dem Netzwerk kommt und über diese Schnittstelle für andere Netzwerke bestimmt ist,
Out : Betrifft den Datenverkehr der aus andere Netzwerken stammt und über diese Schnittstelle für dieses Netzwerk bestimmt ist,
Lokal : Betrifft den Datenverkehr der UDM / USG selbst.
Das sollte als Grundverständnis dienen wie die Regeln funktionieren.
Du hast nur Regeln für LAN In, die nur regeln was aus dem Netzwerk in die anderen Netze geht.
Soll heissen du regelst nur was die, die schon im Haus sind machen dürfen ob raus oder rein, aber was dürfen die, die noch draussen sind?
Für die gibt es keine Regel? Freifahrtsschein ?
Ich hoffe du weisst vlt. worauf ich hinaus will?
In deinem Fall betrifft das aber durch deine Frage die Netzwerke untereinander dieses wird intern geregelt und dafür gibt es LAN lokal.
Dann gibt es verschiedene Beispiele für Firewallregeln im Wiki.
Siehe hier : Firewall-Regeln 2.0 by defcon oder Firewall-Regeln____old!!!! by EJ
Auch hier bei beiden stehen Regeln für LAN lokal drinn die auch wichtig sind.
Du müsstest das dann nur auf deine Zwecke entsprechend einrichten.
Auch ich habe solche Regeln eingebaut. Siehe hier : Firewall-Regeln by Naichbindas
Erst das gesamte Paket wird dann wahrscheinlich den erfolg bringen bei dir.
Zum Thema Traffic - Regeln by Naichbindas , ist das nur zur Erweiterung zu sehen. Das baut dann auf das vorhandene Grundgerüst der Firewall auf.
Wenn du dort Regeln für Lokal Network einrichtest, dann beachte folgendes:
"Derzeit gelten die Verkehrsregeln nur für die LAN-Schnittstellen und können keinen ausschließlich für das Gateway bestimmten Datenverkehr blockieren/zulassen. Diese Regeln können verwendet werden, um den Datenverkehr zu/von den LAN-Geräten zu blockieren/zuzulassen."
Das hatt mir der unifi Support so mitgeteilt in einem Ticket. Die Firewallregeln können nicht durch Traffic Regeln ersetzt werden, sondern nur ergänzt.
Ich hoffe dir hilft das weiter um das ganze zu verstehen und einzurichten.
mfg
-
Bei den Traffic Rules weiss ich nicht wie und ob die sich überschneiden.
Die kommen eigentlich VOR den Regeln. Hier ist dann aber so ne Sache
weil LAN IN / LAN Out je nach stellen wo wir ein Paket reingetappt es schnell wirr und doff werden kann.
da ich etablierte Verbindungen habe, kann ich diese nicht blocken da sie ja schon akzeptiert sind.
Pauschal nicht so zu beantworten. Weil Details fehlen für die ganze Sicht der Dinge.
Grade Statefuel Packet filtering (also dein Etablierte Regeln) wird OFT missverstanden und falsch benutzt.
Es klingt auch ein wenig bei dir danach danach da will ich mich aber nicht festlegen weil wie gesagt
Weis man ja nicht was genau in dieser regle drinnen seht und was du dafür getestet hast.
Die Firewallregeln können nicht durch Traffic Regeln ersetzt werden, sondern nur ergänzt.
Ich hoffe dir hilft das weiter um das ganze zu verstehen und einzurichten.
Alles landet mehr oder minder im Netfilter des Kernels. Schaut man sich die an (iptables)
stellt man schnell fest das Traffic Rules in normalfall VOR den Firewallreglen in der Kette Liegen.
Ein „ich erlaube A nach B“ bekommt damit eher einen Match und beendet die Verarbeitung
und das Paket sieht die regeln für „ich verbiete A nach B“. Somit würde ich nicht sagen
Ergänzt oder ersetzt sonder Traffic Rules haben Priorität gegen über den Normalen Rules.
-
Also ich habe eigentlich meine Regeln nach Wikieinträge gemacht.
Ich muss mal schauen wie ich das löse.