Firewall Regeln Wan In und WAN Out

Hallo Community,

wer von den Experten kann mir denn mal die WAN in und WAN out Firewall Regeln erklären. Ich verstehe dies einfach nicht.

Würde gerne alles was eintrifft blockieren. Habe eine Blockregel mit Quelle "any" und Ziel "any". Dann komme ich natürlich nicht ins Internet.

Habe davor eine allow Regel --> Quelle: Port 443 und 80 Ziel: "any" und danach habe ich einmal Quelle: "any" und Ziel: Port 443 und 80 erstellt. Bei beiden Regeln komme ich nicht ins Internet.

Will dann nach und nach die Ports freigeben die meine Geräte brauchen. Oder ist es generell Sinnfrei solche Regel zu erstellen?

Da ich es aber gerade überhaupt nicht verstehe kann ich die Sinnfrage nicht klären.

Über Antworten und vielleicht ein paar Beispiele dazu würde ich mich freuen.

VG

Zitat von Tuxtom007

WAN IN (WAN eingehend)

Alles was vom Internet auf die WAN-Schnittstelle des Security Gateway kommt, ist WAN IN. Es kommt also Datenverkehr aus dem Internet zum Security Gateway. Ein Blick in die Regeln zeigt auch eventuelle Portweiterleitungen. Diese werden absichtlich und gewollt vom Internet in das private Netzwerk dahinter gelassen. Die Firewall prüft also, was kommt vom Internet auf das USG (die Firewall) und was soll damit passieren.

WAN OUT (WAN ausgehend)

Der Datenverkehr vom privaten Netzwerk ins Internet ist hier gemeint. Möchte ich zum Beispiel für alle Netzwerke dahinter den Port 22 für SSH blockieren, ist hier der richtige Ort. Allerdings heißt das auch, für wirklich alle Netzwerke dahinter.

(Quelle weiss ich nicht mehr )

Die habe ich auch schon öfters gelesen, jedoch verstehe ich das nicht. Es scheint ja alles offen zu sein sonst könnte ich doch nicht surfen. Wenn ich jetzt meine Block Regel "any" zu "any" setze geht ja nichts mehr.

Zitat von razor

Hast Du Dich schon in unserem wiki umgesehen? Da gibt es einen sehr ausführlichen Artikel:

Firewall-Regeln by EJ

Um auf Deine Frage einzugehen bzgl. der Sinnhaftigkeit: ich würde mir VLANs erstellen und darauf dann die Regeln anwenden, aber nicht auf WAN in oder WAN out. Im ersten LAN (ohne VLAN-ID) sollten sich keine Hosts aufhalten und auch sollte der IP-Adressraum nicht geändert weren. #BestPractises

Genau wie in dem Beitrag beschrieben habe ich meine VLAN's und Firewall Regeln auch angelegt. Aber wieso blocke ich nicht vorher schon unerwünschten Traffic?

Zitat von Tuxtom007

Rausgehend ( WAN out ) kann gut alles offen sein, ich ungefährlicher, aber WAN In, also alles was vom Internet auf deiner WAN-Schnittstelle reinkommt, sollte per Default geblockt sein.

Grundregel Firewall: Erst mal alles blocken und dann nur das freischalten, was wirklich benötigt wird.

Aber da ist ja mein Problem. Welche Regel wende ich denn an, die ich vor die Block Regel "any" to "any" setze, um überhaupt surfen zu können.

Zitat von razor

Da ja von außen nix unerwartetes reinkommt brauchst Du Dich darum nicht zu kümmern.

Du könntest nur verhindern, dass irgendetwas raus geht. Das würde ich dann aber über das entsprechende VLAN (z.B. IoT) trennen. Da konfigurierst Du dann alles "weg", was nicht nach draußen gehen soll.

Ja dies habe ich so realisiert. Ich habe mehrere VLAN's. Eines hat keinen Zugriff zum Internet. Doch mein Grundproblem sind immer wieder Angriffe die durch die Firewall geblockt werden. Und ich nicht ganz verstehe wie eine bestimmte IP im Internen Netzwerk angegriffen werden kann. Diese IP muss ja nach außen irgendwelche Ports geöffnet haben und sichtbar sein. Daher würde ich gerne alles mögliche was raus geht sperren und natürlich was rein geht.