Firewall für Einsteiger

Es gibt 12 Antworten in diesem Thema, welches 4.382 mal aufgerufen wurde. Der letzte Beitrag () ist von amaskus.

    Hallo,


    ich möchte mich nun endlich mal mit dem Thema Firewall auseinander setzen.


    Ich hab zwei VLANs - eins für IoT-Gerätschaften und eins für "richtige" Geräte.

    Nun haben manche "Smart Home"-Geräte ja eine Weboberfläche oder App zur Konfiguration.


    Wie muss ich bei der Firewall vorgehen, wenn ich vom "Haupt-VLAN" aus auf eine IP-Adresse mit Port aus dem IoT-VLAN zugreifen möchte?

    Läuft das über Static Routes, Firewall oder Port Forwarding?

    Was ist der Unterschied zwischen "LAN IN", "LAN OUT" und "LAN LOCAL" usw bei der Firewall?


    Beispiel:

    Von 192.168.1.1/24 aus möchte ich auf 192.168.2.22 Port 80 zugreifen.

    Was muss ich dazu wo einstellen?


    Gibt es dazu eventuell irgendwo ein Tutorial?


    Danke!

  • Zum Hilfreichsten Beitrag springen

    Ich möchte Dich gern an unser wiki verweisen: UniFi Allgemein | Firewall-Regeln by EJ

    Hmm, das ist ja mehr eine Anleitung WIE man das macht, aber nicht WARUM man die einzelnen Schritte macht. Heißt, diese Anleitung auf andere Szenarien zu übertragen, ist nicht so ganz einfach.



    Was ich aktuell noch gar nicht verstehe, wann lege ich eine Regel in welcher Kategorie (LAN IN, LAN OUT usw) an? Worin unterscheiden sich die Kategorien oder dient das einfach nur der Übersicht und technisch gibt es keinen Unterschied? Was passiert, wenn ich eine Regel in der falschen Kategorie anlege?


    Warum macht man das in der klassischen Ansicht, geht es in der modernen gar nicht oder ist diese "kaputt" oder ginge das schon und das ist einfach Gewohnheit?


    Verstehe ich es richtig, das ich mir das mit den Gruppen sparen könnte, wenn ich die IPs jedesmal direkt in die Regeln schreibe? Und das somit einfach nur eine Arbeitserleichterung ist.


    Zu den einzelnen Regeln selbst:

    Warum will ich bereits bestehende (established) Connections erlauben? Ich würde von der Logik her erst mal alles bestehende kappen und dann nur noch neues, das den Regeln entspricht, zulassen. Was, wenn ich diesen Part weglassen würde?


    Mit der Regel "allow access to IoT device" erlaube ich im Beispiel den Zugriff auf die IP des Druckers. Ich will jetzt aber nicht, das Gäste auf das Webinterface des Druckers sondern nur auf den Druckerport 9100 zugreifen können. Wie kann ich das entsprechend einschränken? Muss ich eine neue Group mit den erlaubten Ports erstellen ("Port Group") und diese dann zusätzlich zur Adress Group auswählen?


    Nachtrag: Wenn im Netzwerk IPv6 aktiv ist muss man das da auch nochmal machen? Sonst bringen die Regeln ja nix, wenn man per v6 einfach dran vorbei kommt. Da sich das Prefix ja bei jedem DSL-Verbindungsaufbau ändert, wie kann man da "dauerhafte" Regeln erstellen?

    Bei der Fritzbox kann man ja einfach das Gerät auswählen und die Regeln gelten dann für IPv4 und IPv6 gleichermaßen. So eine Funktionalität wäre da auch schick.


    Danke!

    Moin,


    Die Anleitung ist ein Jahr alt daher noch das alte interface - das neue war zu der zeit noch sehr buggy



    du hast ja grundsätzlich in den Drei Kategorien (WAN, LAN und GUEST) jeweils drei Unterbereiche (IN, OUT und LOCAL)


    Wenn du aus Sicht des Netzes gehst kannst wendest du die regeln wie folgt an

    In - alles was aus anderen netzen rein kommt

    Out - alles was aus dem Netz in andere Netze geht

    Local - alles was sich innerhalb des Netzes bewegt


    bei deinem Drucker würde ich die regel auf LAN In des IoT Netzes anlegen und dann auch den port beschränken (zB mit dem Protocolnamen)


    Bei Gastnetzen unterbindet man häufig die Kommunikation zwischen den einzelnen Geräten im Gastnetz - das wäre dann in LAN Local einzurichten.


    Was die established Verbindungen anbelangt sind diese wichtig sonst kann eine aufgebaute Verbindung nicht bestehen bleiben bzw die andere Seite nicht antworten.

    Du willst drucken aber dein Drucker will einen Fehler zurücksenden ohne die established kommt der nicht durch.

    Diese regel greift auch nur bis die Verbindung terminiert ist.


    Ich hoffe ich konnte dir hier etwas Licht ins dunkeln bringen

    Mein Projekt

    Zitat von amaskus

    Wenn du aus Sicht des Netzes gehst kannst wendest du die regeln wie folgt an

    In - alles was aus anderen netzen rein kommt

    Out - alles was aus dem Netz in andere Netze geht

    Local - alles was sich innerhalb des Netzes bewegt

    Unifi hat das mal in einem Thread so beschrieben ( frei übersetzt :frowning_face:

    • LAN IN: alles was vom Netzwerk über die entsprechende Schnittstelle auf die UDM/USG reinkommt
    • LAN OUT: alles was von der UDM/USG in das entsprechede Netz rausgeht
    • LOCAL: alles was vom Netzwerk für die selber UDM/USG reinkommt (z.B. Zugriff aufs Webinterface)

    Ich finde den Artikel leider nicht mehr, vielleicht hab ich den zuhause noch in Evernote gespeichert, schaue ich nachher mal.

    • Hilfreich

    Wie gut das ich alles in Evernote dokumentiere :smiling_face_with_sunglasses:

    Ich weiss allerdings die Quelle nicht mehr.


    ---

    UniFi Firewall

    Was bedeuten die Firewall Regeln genau?
    WAN ist das Internet oder externe Netzwerk
    LAN ist irgendein internes Netzwerk, ausser Gast
    GUEST internes Netzwerk, welches als Gast definiert wurde
    LOCAL Netzwerkverkehr auf die Firewall selbst

    WAN IN (WAN eingehend)

    Alles was vom Internet auf die WAN-Schnittstelle des Security Gateway kommt, ist WAN IN. Es kommt also Datenverkehr aus dem Internet zum Security Gateway. Ein Blick in die Regeln zeigt auch eventuelle Portweiterleitungen. Diese werden absichtlich und gewollt vom Internet in das private Netzwerk dahinter gelassen. Die Firewall prüft also, was kommt vom Internet auf das USG (die Firewall) und was soll damit passieren.

    WAN OUT (WAN ausgehend)

    Der Datenverkehr vom privaten Netzwerk ins Internet ist hier gemeint. Möchte ich zum Beispiel für alle Netzwerke dahinter den Port 22 für SSH blockieren, ist hier der richtige Ort. Allerdings heißt das auch, für wirklich alle Netzwerke dahinter.

    WAN LOCAL (WAN lokal)

    Hier sind keine Einstellungen nötig. Es betrifft die Services der Firewall selbst an der WAN Schnittstelle. Beispielsweise sind hier Regeln definiert, wenn ein VPN-Server auf dem USG eingerichtet wurde. Da kein weiteres Gerät im Netzwerk ein VPN-Server ist, wird es unter WAN LOCAL definiert.

    LAN OUT (LAN ausgehend)

    Einfach definiert, der Datenverkehr welcher aus den privaten Netzwerken geht. Ziel ist an der Stelle irrelevant, da es aus dem LAN gehend soll.

    LAN IN (LAN eingehend)

    Wenn Daten in die privaten Netzwerke gehen sollen, dann ist LAN IN der richtige Ort für Regeln. Übrigens ist es sinnvoll, hier die Regeln für die Netzwerke zu setzen, wenn etwas blockiert werden soll. Nutze ich nämlich LAN OUT, kann ich sehr wohl im gleichen Subnetz via SSH auf einen Rechner zugreifen, wenn ich das blockiert habe. Definiere ich die Regel hier, ist das nicht so.

    LAN LOCAL (LAN lokal)

    Der Datenverkehr der USG Firewall für die LAN-Schnittstelle, also alle lokalen privaten Netzwerke.
    Analog dem LAN ist die Aussage für das Gastnetzwerk zu verstehen.


    --

    Zitat von amaskus

    Bei Gastnetzen unterbindet man häufig die Kommunikation zwischen den einzelnen Geräten im Gastnetz - das wäre dann in LAN Local einzurichten.

    Den Aufwand würde ich mir gar nicht betreiben dafür die Regeln zu schreiben. Gastnetwerk einrichten Client isolation anhaken und gut ist. Soll doch das System für mich arbeiten wenn es das schon bietet :smiling_face:


    Natürlich rein auf die Unifi-Welt bezogen wenn man richtige Firewalls etc. betreibt löst man das dann natürlich meist über explizite Regeln

    Zitat von KJL

    Natürlich rein auf die Unifi-Welt bezogen wenn man richtige Firewalls etc. betreibt löst man das dann natürlich meist über explizite Regeln

    So ist es, was ich deutlich bevorzuge. Bin aber verwöhnt von der OPNSense, kenne es aber auch von andere Firewalls so

    Firewall-Regeln gehen dort:

    - für alle Interface / VLAN's gleichzeitig ( sog. Floating-Rules )

    - für LAN/VLAN-Gruppen

    - für einzelne Interface oder Interface-Gruppen, z.b. LACP

    - für einzelne VLAN's

    und werden auch genau so in der Reihenfolge priorisiert.


    Unifi ist da etwas einfacher gestrickt.

    Zitat von Tuxtom007

    Unifi ist da etwas einfacher gestrickt.

    Naja kommt drauf an wenns halt um so nen poppelzeug geht wo ich nur nen Haken setzen muss ja.

    Aber das Firewallsystem von Unifi find ich schrecklich das hat wenig intuitives

    Zitat von KJL

    Aber das Firewallsystem von Unifi find ich schrecklich das hat wenig intuitives

    Das stimmt - man muss aber immer dran denken, wer die Zielgruppe für eine UDM/UDMPro ist - das ist nicht der Profiinstaller, der baut direkt was ordentliches ein um sich den Ärger vom Hals zu halten. und flexible in der Konfiguration ist.

    Ergo bleibt nur der SoHo-Bereich übrig und da sitzen meist keine Firewall-Experten ( zu denen ich mich auch nicht zähle ), somit muss das Zeug einfach zu konfigurieren sein.


    Ich keine Sophos-Firewalls, wo auch alles per WebGUI geht, ich kenne aber auch Juniper, die nur per Kommandline konfiguriert werden können und das ist dann eine ganz andere Liga, das muss man schon genau wissen, was man machen will und vor allem wie.


    Ich würde sagen, mit der OPNsense kenne ich miich mittlerweile ganz gut aus, die ist da ein Mittelwerg, die Software kommt aus dem Profibereich, ist aber nach etwas Einarbeitung auch recht intuitiv konfigurierbar - das ist Unifi in der Tat Meilenweit von entfernt.

    Zitat von KJL

    Den Aufwand würde ich mir gar nicht betreiben dafür die Regeln zu schreiben. Gastnetwerk einrichten Client isolation anhaken und gut ist. Soll doch das System für mich arbeiten wenn es das schon bietet :smiling_face:

    Das war ja ach nur ein Beispiel wo so was angewendet wird.

    Auch der haken ist ja im endeffekt ne FW Regel

    Mein Projekt

    Gefällt mir 1