Frage zu Firewall Regeln - Block VLAN to VLAN

Es gibt 3 Antworten in diesem Thema, welches 1.135 mal aufgerufen wurde. Der letzte Beitrag () ist von Renek83.

    Hallo zusammen,


    ich habe gestern mein Netzwerk etwas strukturiert. Vorher waren Gast und IOT ein Nezt, nun habe ich es getrennt. Ich habe mich dabei an diesen Artikel orientiert. https://lazyadmin.nl/home-netw…bf4b48b9466#comment-10039


    Ich muss zugeben das ich die dort verwendeten Firewallregeln noch nicht komplett durchdrungen habe, Ich habe aber ähnliche Empfehlungen schon mehrfach gelesen und daher erst mal die Regeln so gesetzt.


    Zum einen gibt es dort eine Regel "Block IoT to Gateways". Diese blockiert Zugriff aus dem IOT Vlan auf die Gateway Adressen (z.B. auf 192.168.20.1). Die Regel habe ich aktuell wieder deaktiviert, da ich damit Probleme hatte. Wieso macht man diese Regel überhaupt? Warum sollen Geräte im Vlan nicht auf ihren DNS Server zugreifen können? Der Zugriff auf die Konsole (22, 443, 80) ist über eine separate Regel blockiert.


    Dann gibt es noch eine Regel "Block Vlan to Vlan". Wenn ich diese Regel aktiviert habe kann ich beispielsweise meine Tuya Geräte nicht mehr in Home Assistant finden (Home Assistant ist selbst mit einem zweiten Interface im IOT Vlan). Ist die Kommunikation zwischen einzelnen Vlans nicht per Default schon blockiert?


    Gruß

    René

    Moin Renek83

    Leider nein. Bei Unifi ist erstmal alles erlaubt bis dahin wo du des verbietest.

    Die Regeln machen schon Sinn. Sonst brauchen wir kein VLAN machen und alles in ein Netzwerk schmeissen.

    Daher Block VLAN to VLAN. Die Geräte im jeweiligen VLAN sollen ja auch nur im eigenen Heim bleiben. Du kannst aber unter LAN In diese Regeln aufweichen und entsprechend Firewallregeln als Ausnahmen schaffen.

    Die Regel Block to Gateway soll nur sagen das die tatsächlich nicht auf das Gateway zugreifen sollen oder dürfen. Stell dir mal vor diese Gateway Adresse wäre ein Router mit Webgui.

    Daher sollen besonders neugierige Geräte am besten nichts von der Existenz des Gatways erfahren und nicht drauf zugreifen dürfen.

    Ich weiss hört sich erstmal Blöd an, weil die IP des GATEWAY ist meist dieselbe wie die für den DNS. Aber DNS wird ja nur zur Adressaulösung gebraucht und ist ein anderes Protokoll. Dieses funktioniert trotzdem obwohl das Gatway selber nicht erreichbar ist oder sein soll.

    Eine DNS Adresse kann aber auch eine ganz andere sein, wie die von einem Pihole oder so.

    Ein Gateway macht halt andere Sachen die aber nicht für jedes Heimnetzgerät von belang sind.

    Daher kann man das eine sperren und das andere geht trotzdem.

    Ich hoffe konnte das so einigermaßen erklären.


    mfg

    Mann hat es nicht leicht, aber leicht hat es einen.. :face_with_tongue:

    Wenn du hier im Wiki schaust, findest du auch den folgenden Wiki Eintrag von Defcon.

    Firewall-Regeln 2.0 by defcon - ubiquiti - Deutsches Fan Forum (ubiquiti-networks-forum.de)

    Nach dem Wiki Eintrag habe ich ca. 80 Firewall Regeln erstellt und es läuft alles so wie ich es mir auch vorgestellt habe. :grinning_squinting_face:

    Zitat von Naichbindas

    Moin Renek83

    Ich weiss hört sich erstmal Blöd an, weil die IP des GATEWAY ist meist dieselbe wie die für den DNS. Aber DNS wird ja nur zur Adressaulösung gebraucht und ist ein anderes Protokoll. Dieses funktioniert trotzdem obwohl das Gatway selber nicht erreichbar ist oder sein soll.

    Eine DNS Adresse kann aber auch eine ganz andere sein, wie die von einem Pihole oder so.

    Hi, dazu habe ich mal eine Frage. Die Regel besagt ja konkret Port = ANY, das heißt für mich auch Port 53 und damit auch DNS. Ich sehe an der Regel nicht das diese nur ein bestimmtes Protokoll umfasst. Einen PiHole habe ich auch laufen als Gateway, allerdings nur im Haupt Netz und nicht im IOT und Gäste Netz. Daher habe ich dafür keine Regel angelegt.


    Mein Problem ist letztendlich auch das scheinbar bestimmte Blocks nicht im Firewall Log (ich nehme an das ist das unter "Triggers") auftauchen, sonst könnte ich explizite Regeln dafür anlegen. Am Beispiel vom Local Tuya Add-on im Home Assistant scheint es ja so zu sein das "Vlan to Vlan" Traffic blockiert, der notwendig ist um die Devices zu finden. Ich könnte jetzt testen ob es noch eine Regel für Home Assistant -> IOT bedarf, was aber eigentlich nicht notwendig sein sollte, wenn der Home Assistant selbst in dem Vlan ist. Wäre halt alles Try&Error.