UDM SE: Firewall LAN IN Regeln - Problem

Es gibt 7 Antworten in diesem Thema, welches 1.775 mal aufgerufen wurde. Der letzte Beitrag () ist von defcon.

    Hi Zusammen,


    ich habe eine Frage zu den Firewall Regeln der UDM SE.


    Und zwar habe ich seit langer Zeit im LAN IN folgende Regeln laufen:

    LAN IN > ACCEPT > Source Any, Any > Dest. Any, Any (States: Match State Established, Match State Related)

    LAN IN > DROP > Source Any, Any > Dest. Any, Any (States: Match State Invalid)


    Durch das neue Firmware Update spuckt die UDM jetzt auch die Infos aus, was da so passiert und dabei Fällt mir auf, dass meine "Drop" Regel doch öfters als Meldung kommt.


    In aktuellen Anleitungen findet man auch nicht mehr die LAN-IN Drop Match Invalid State Regel.


    Was ist denn jetzt hier der richtige weg? Lasse ich die DROP Regel im LAN IN noch drin, oder lieber weg?


    Freue mich auf Hilfe.

    Auch hier muss ich dich Fragen, ob du die Funktion der Firewall verstehst (nicht böse gemeint)

    Was hast du mit diesen Regeln vor? Welche Funktion sollen die haben?

    Gruß

    defcon

    Nun ja.


    Die Clients sollen ja aus dem LAN ins Internet eine Verbindung aufbauen dürfen (established) und dann auch entsprechend weiter auf den Seiten auf Links klicken können usw. (related).


    Die Frage ist letztendlich, ob der Drop Match Invalid State im LAN IN sinnig ist.

    Zitat von opensec

    Die Clients sollen ja aus dem LAN ins Internet eine Verbindung aufbauen dürfen (established) und dann auch entsprechend weiter auf den Seiten auf Links klicken können usw. (related).

    Das können die auch ohne diese Regel.


    • Local Applies to traffic that is destined for the UDM/USG itself.
    • In Applies to traffic that is entering the interface (ingress), destined for other networks.
    • Out Applies to traffic that is exiting the interface (egress), destined for this network.

    Gruß

    defcon

    ja, es sei denn du willst VLANs gegeneinander isolieren, aber da bringen dich diese von dir angelegten Rules auch nicht weiter.

    Gruß

    defcon

    Zitat von defcon

    ja, es sei denn du willst VLANs gegeneinander isolieren, aber da bringen dich diese von dir angelegten Rules auch nicht weiter.

    Ja - genau das will ich tun, dass die VLANs gegeneinander isoliert sind.


    Im Grunde geht es mir hier um die Sache:

    [Externes Medium: https://youtu.be/tS4-ClQuo3g?t=195]
    bzw.
    [Externes Medium: https://youtu.be/LnjIK3Sv2IY?t=876]


    Machen die das denn falsch? Und ja - ich weiß, man sollte das alles selbst können. Aber ich versuche es über den Weg zu lernen und teste auch nur in Testumgebungen, bis ich es verstehe.

    Firewalling 2.0 by defcon - ubiquiti - Deutsches Fan Forum


    Hier etwas Lektüre dazu.

    Gruß

    defcon