keine Firewallregel scheint zu greifen

Es gibt 7 Antworten in diesem Thema, welches 2.467 mal aufgerufen wurde. Der letzte Beitrag () ist von BoxSon.

    Hallo zusammen,


    ich habe mich nun tagelang durch das Thema Firewall gewühlt und komme nicht weiter. Ich habe folgenden Aufbau:

    • UDM-Pro direkt an einem Fiber-Wandler als Router angebunden (WAN1)
    • 3 x Accesspoints von UI mit diversen Clients dran
    • 1 x Switch Mini

    Ich habe mein Netzwerk in insgesamt 6 Netze aufgeteilt:

    • DEFAULT - 192.168.1.0/24
    • VOIP - 192.168.2.0/24
    • IOT - 192.168.3.0/24
    • KIDSLAN - 192.168.4.0/24
    • HOMEOFFICE - 192.168.5.0/24
    • SERVER - 192.168.6.0/24

    Bis auf das HOMEOFFICE und das KIDSLAN Network haben alle anderen kein Content-Filtering aktiviert. Alle Networks haben jeweils eine eigene und eindeutige VLAN-ID zugewiesen.


    Mein Ziel ist es von Anfang an gewesen, die Netze weitestgehend gegeneinander zu verriegeln, so dass Clients aus einem Netz nicht Client eines anderen Netzes "sehen" geschweige denn sich dorthin verbinden können.


    Ich habe nun eine Grundregel in die Firewall eingetragen, von der ich ausgehe, dass sie die Kommunikation aus dem Netz IOT in das Netz DEFAULT unterbinden sollte:


    Name: Block IoT to Default

    Type: LAN IN

    Action: Drop

    IPv4 Protocol: All

    Source

    Source Type: Network

    Network: IoT

    Network Type: IPv4 Subnet

    Destination

    Destination Type: Network

    Network: Default

    Network Type: IPv4 Subnet


    Wenn ich die Firewall-Regel speichere, dann landet sie in der Liste der Firewallregeln im Bereich LAN IN an zweiter Stelle hinter "allow established/related Sessions". Damit gehe ich davon aus, dass keine Regel davor den Verkehr zulassen dürfte. (Gehe ich richtig davon aus, dass die Regeln vom kleinsten Rule-Index zum größten evaluiert werden?)


    Wenn ich nun von einem Raspberry, der gesichert im IoT-Netz hängt (IP-Adresse geprüft) ein Gerät aus dem Default-Netzwerk anpinge, ist das leider erfolgreich. Wenn ich dann noch vom Raspberry im IoT-Netzwerk eine ssh-Verbindung zu einem Gerät im Default-Netzwerk aufbau klappt auch das leider.


    Habe ich vlt. ein komplett falsches Verständnis wie die Firewall arbeitet? Muss man eventuell an irgendeiner Stelle noch was aktivieren / einschalten?

    Ich habe die Regeln auch schon mal alle komplett gelöscht und mich an dem hier im Forum verlinkten HowTo orientiert. Gleiches Ergebnis, die Regeln scheinen nicht zu greifen.


    Ich hatte mir extra so eine einfache Regel für den Anfang rausgesucht, um zu sehen ob das alles funktioniert.

    Schon mal den Firewall Eintrag im Wiki durchgearbeitet? Damit sollte das klappen.

    Zitat von jkasten

    Schon mal den Firewall Eintrag im Wiki durchgearbeitet? Damit sollte das klappen.

    Ja den habe ich auch schon nach einem löschen der vorhandenen "custom" Regeln durchgearbeitet. :frowning_face:

    Den hier meinst Du oder? UniFi Allgemein | Firewall-Regeln by EJ


    Kann es vlt. irgendwie an der Reihenfolge liegen? (nicht, dass ich das nicht schon versucht hätte :smiling_face: )


    Und die "Blockiere den Verkehr zwischen den einzelnen Netzwerken" Regel ist folgendermaßen definiert:



    Die Port/IP Group ist so definiert:


    Einmal editiert, zuletzt von razor () aus folgendem Grund: Ein Beitrag von BoxSon mit diesem Beitrag zusammengefügt.

    Zitat von BoxSon

    ....

    Habe ich vlt. ein komplett falsches Verständnis wie die Firewall arbeitet? Muss man eventuell an irgendeiner Stelle noch was aktivieren / einschalten?

    Nö, hast schon richtig gemacht.


    Firewall-Regeln werden nach "Top down" & "First match". abgearbeitet.

    Also von oben nach unten und die erste Regel, die zutrifft, wird beachtet, alle weiteren ignoriert.


    Ich weiss nicht mehr wie ich das mit der UDMPro gemacht habe, aber bei mir mache ich das derzeit so ( andere Firewall :frowning_face:

    • erlaube DHCP, NTP, DNS ( alle Standard-Dienst )
    • erlaube Dienst yxz nach abc
    • weitere erlaube Regeln
    • Vorletzte Regel: erlaube Source ANY, Destination "NICHT RFC1918", damit ist Internet erlaubt aber bei meiner FW die Inter-VLAN Kommunikation geblockt ( weil ja IP's aus RFC1918 )
    • letzte Regel: Block VLAN x, Protokoll ANY, Source ANY to Destination ANY, Port ANY, IPv4/IPv6

    UniFi erlaubt erst mal alles, was nicht verboten ist. Im Grund hat du das aber schon gemacht mit Deiner Regel.

    Im schlimmsten Fall, reboote das Teil mal, ggf. reicht auch ein Restart des Firewall-Prozess, weil der ggf. das Regelwerk nicht neu liest.

    Zitat von Tuxtom007

    Im schlimmsten Fall, reboote das Teil mal, ggf. reicht auch ein Restart des Firewall-Prozess, weil der ggf. das Regelwerk nicht neu liest.

    Okay, das werde ich mal probieren. Wie kann ich denn einen Prozess neu starten ? Im WebUI habe ich das nicht gefunden. Geht das nur per SSH ?

    Zitat von BoxSon

    Okay, das werde ich mal probieren. Wie kann ich denn einen Prozess neu starten ? Im WebUI habe ich das nicht gefunden. Geht das nur per SSH ?

    Vergiss das, ich hab mich vertan, das geht bei der UDMPro nicht - ich hatte da was in Erinnerung aber es ging nicht, weil Unifi das Betriebssystem so komisch gebaut hat, iptables - also der Firewalldienst ist kein Linux-Service.


    Irgentwie machen die das im Hintergrund wenn du ein Regel über die GUI anlegst.


    Also Neustart wohl die einzige Lösung, um sicher zu gehen.

    Ich habe die UDM (auch auf anraten von Ubiquiti) einmal rebootet. Auch der Support konnte keine Fehler in den definierten Firewall-Regeln sehen auf Anhieb. Ich habe nun den gleichen Test nochmal gemacht und kann weiterhin aus jedem Netzwerkbereich in die anderen hinein pingen und verbinden.


    Ich habe nun mal die Support-Files generiert und übersandt. Mal sehen ob Ubiquiti was findet. Jetzt liegt das Thema im Tier 2 Support.

    Einmal editiert, zuletzt von BoxSon ()