Firewall-Regel funktioniert nicht (mehr)

Es gibt 10 Antworten in diesem Thema, welches 1.530 mal aufgerufen wurde. Der letzte Beitrag () ist von DoPe.

    Hallo zusammen,


    ich hatte bis gestern meine UDM Pro SE an einem Vigor 167 hängen. Leider musste ich gestern auf meine Fritzbox zurück (das soll hier nicht Thema sein). Die Fritzbox steht auf Exposed Host.

    Ich habe doppeltes NAT. Nun bin ich mir nicht sicher, ob das zu dem Problem führt, das ich heute festgestellt habe:


    Ich habe mehrere VLAN. Von meinem VLAN 10 Master sowie Default soll auf alle Geräte zugegriffen werden. die Dritte Regel sperrt die Kommunikation zwischen den VLAN:


    Hierfür habe ich folgende Regeln als "akzeptieren" angelegt:


    und hier für Default:


    Die Gruppe "Lokales Netzwerk" ist wie folgt angelegt:


    Die 3. Regel ist die Regel, wo alle Kommunikation zwischen den VLAN gesperrt wird:


    Sobald ich diese 3. Regel aktiviere, kann ich mit den Geräten aus Default und Master nicht mehr auf die anderen Netzwerke zugreifen. Die Regeln 1 und 2 scheinen nicht zu greifen.


    Funkt hier irgendwie die Fritzbox dazwischen??


    Habt ihr Ideen? Ich wollte die VLAN eigentlich voneinander trennen.


    Danke und Grüße

    David

    Wenn ich das richtig sehe, dann verbietest Du allerdings den Weg für die Antwort Pakete. Du erlaubst zwar den Paketfluss von Master und Default in die Netze Beliebig, aber für die Antwortpakete aus Beliebig nach Default und Master gibt es keine Allow Regel für Established und Related. Da greift dann die Regel Beliebig nach Beliebig und die Dropped vermutlich alles.


    Versuche mal zwei Regeln vor Position 3 zu packen, die erlaubt, dass Pakete mit Related und Established von Beliebig nach Master und nach Default dürfen.

    Zitat von iTweek

    Er meint. Erst die Erlaubt regel ganz nach oben und verbieten ganz nach unten. Er Arbeiten von 1- x nach reinfloge ab


    Wenn du das andersrum machst sind die Erlaub Regeln ausgehebelt

    Mir ist das klar. Und auf den Screenies ist das doch auch richtig. Und wenn es jetzt funktioniert muss es ja auch vor diesem Kommentar schon korrekt gewesen sein. Daher meine Frage auf was sich der Kommentar jetzt bezieht ...

    Auch wenn er bei Drop Regel keinen Haken drinn hatt, und wir den Grund dafür nicht kennen, kann der aber vorher ja drinn gewesen sein und dann gibt es Probleme.

    Und da allgemein, die Regeln in der Reihenfolge angelegt werden sollten erlauben vor verbieten ist das auf dem Bild aber falsch. Das kann später bei der Fehlersuche hinderlich sein, falls diese Regel irgendwann wieder mal aktiv sein sollte.


    Siehe Hier...


    https://ubiquiti-networks-forum.de/attachment/19486-pasted-from-clipboard-png/

    Mann hat es nicht leicht, aber leicht hat es einen.. :face_with_tongue:

    Das sieht für mich auch richtig aus, was genau meinst du?

    Nur weil irgendwo erlaubt steht, muss die Regel nicht zwangsläufig nach oben... gerade bei den automatischen Dingern ... evtl. will man die ja gerade aushebeln. Ich hab bei mir auch sehr oft augenscheinliche Verbotsregeln vor Erlaubtregeln ... nur so kann man oftmals bestimmte granulare Regeln erstellen .... manchmal ist Firewalling ja nicht schwarz - weiss ( darf nix - darf alles)