Firewall Regeln vereinfachen

Es gibt 5 Antworten in diesem Thema, welches 1.376 mal aufgerufen wurde. Der letzte Beitrag () ist von defcon.

    Hallo,


    ich habe mich beim Anlegen der FW Regeln an die Vorschläge auch hier aus dem Forum gehalten. Wenn ich mir aber die Regeln ansehe, sehe ich da vieles doppelt und dreifach.


    Also habe ich alle Lan-In Regeln rausgeworfen, die sich wie folgt nannten:


    Drop Netz/VLAN zu allen Gateways

    Drop Netz/VLAN zum UniFi Netz


    Die Regel -Drop alle internen Netze/VLAN- habe ich dahingehend geändert, das dort nun alle privaten Netze192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8 enthalten sind.


    Ich habe alles mögliche gepingt und sehe mit dieser einen Regel keinen Unterschied zu den ganzen doppel und dreifach Regeln.


    Sehe ich da etwas falsch?

    Einmal editiert, zuletzt von thghh ()

    Ja auch die GW lassen sich nicht anpingen.


    Das einzige was sich anpingen lässt, ist das WireGuard Netz.

    Ich bin etwas verwundert, dass es so wenig Reaktionen bei dem Thema gibt.


    Ich habe weiter getestet und sehe keinen Unterschiede zu dem was auch hier im Wiki geschrieben wird.

    Da ich gerade auf OPNsense umgestiegen bin:


    Dort ist erstmal alle Kommunikation verboten, Standard ab Werk.


    Ich hab z.B. ein VLAN für die Gäste angelegt, inkl. DHCP & Co.


    Erst, wenn ich es per FW-Regel erlaube, kommen die Geräte ins Netz bzw. kommen zum DNS-Server.

    Man muss alles aktiv frei geben (oder wie manch einer: erlaube any nach any :winking_face: )


    Ich kam von der Sophos zu UniFi, da war es genau so: erstmal alles verboten.


    Bei UniFi, dass damals noch den "Heimbastler" angesprochen hat, ist erstmal alles erlaubt...

    Machts einfacher, weil alles läuft...


    Vermutlich waren die damaligen Einträge in einer alten GUI- / Firmware-Version gemacht...

    Mir egal, wer Dein Vater ist! Wenn ich hier angel`, wird nicht übers Wasser gelaufen!!

    • Local Applies to traffic that is destined for the UDM/USG itself.
    • In Applies to traffic that is entering the interface (ingress), destined for other networks.
    • Out Applies to traffic that is exiting the interface (egress), destined for this network.


    Du beeinflusst in der hinsicht quasi nur, wann und ob der traffic verworfen wird.

    Gruß

    defcon