Hallo Networker
Firewall Rules und VLAN
sind die Wege nach Rom, momentan Befindest Du dich " Homer die an Fritten Denken " in Pisa...
192.168.1.0/24 ist dein NAT alias UDM "LAN management" alias "HeimNetz"
vergesst das...
Legt VLAN drauf
NAT/LAN 192.168.1.0/24 "Ubiquiti Geräte"
VLAN ID = 10 // 10.10.10.0/29 // Office Netz
VLAN ID = 20 // 10.20.20.0/28 // IoT Netz
VLAN ID = 30 // 10.30.30.0/24 // Gast Netz
VLAN ID = 40 // 10.40.40.0/27 // Medien Netz
VLAN ID = 50 // 10.50.50.0/28 // Privates Netz // Spiele etc.
WLAN auf Vlan gelinkt
VPN über WLAN mit Extra IPs Remote VPN // 172.60.30.0/28 über Radius UDM
Firewall Rules // LAN IN // ALL "management LAN/ NAT" Alle Ports Zu bis auf die, die Tatsächlich gebraucht werden ...
in Lan IN alle Regeln, auch für VLANs / zb. PSX Spiel Port 36xx irgendwas in Extra Regel an ID 50
usw.
Für "ALLE"
USG / UDM
die Firewall Regeln sind Grundsätzlich OFFEN, Sie müssen ersteinmal gesetzt werden, also der Umkehr Weg von Firewall Standard Windows !!!!
Weiteres entnehmt ihr der Funktion " Deep Inspections " und " Intrusion Prevention System / IPS "
WAN IN (WAN eingehend)
Alles was vom Internet auf die WAN-Schnittstelle des Security Gateway kommt, ist WAN IN. Es kommt also Datenverkehr aus dem Internet zum Security Gateway. Ein Blick in die Regeln zeigt auch eventuelle Portweiterleitungen. Diese werden absichtlich und gewollt vom Internet in das private Netzwerk dahinter gelassen. Die Firewall prüft also, was kommt vom Internet auf das USG (die Firewall) und was soll damit passieren.
WAN OUT (WAN ausgehend)
Der Datenverkehr vom privaten Netzwerk ins Internet ist hier gemeint. Möchte ich zum Beispiel für alle Netzwerke dahinter den Port 22 für SSH blockieren, ist hier der richtige Ort. Allerdings heißt das auch, für wirklich alle Netzwerke dahinter.
WAN LOCAL (WAN lokal)
Hier sind keine Einstellungen nötig. Es betrifft die Services der Firewall selbst an der WAN Schnittstelle. Beispielsweise sind hier Regeln definiert, wenn ein VPN-Server auf dem USG eingerichtet wurde. Da kein weiteres Gerät im Netzwerk ein VPN-Server ist, wird es unter WAN LOCAL definiert.
LAN OUT (LAN ausgehend)
Einfach definiert, der Datenverkehr welcher aus den privaten Netzwerken geht. Ziel ist an der Stelle irrelevant, da es aus dem LAN gehend soll.
LAN IN (LAN eingehend)
Wenn Daten in die privaten Netzwerke gehen sollen, dann ist LAN IN der richtige Ort für Regeln. Übrigens ist es sinnvoll, hier die Regeln für die Netzwerke zu setzen, wenn etwas blockiert werden soll. Nutze ich nämlich LAN OUT, kann ich sehr wohl im gleichen Subnetz via SSH auf einen Rechner zugreifen, wenn ich das blockiert habe. Definiere ich die Regel hier, ist das nicht so.
LAN LOCAL (LAN lokal)
Der Datenverkehr der USG Firewall für die LAN-Schnittstelle, also alle lokalen privaten Netzwerke.
Analog dem LAN ist die Aussage für das Gastnetzwerk zu verstehen.