UDM Ports sperren

Es gibt 26 Antworten in diesem Thema, welches 3.063 mal aufgerufen wurde. Der letzte Beitrag () ist von Patrick089.

    Hallo zusammen,


    ich habe mir vor kurzem eine Dream Machine Pro zugelegt.

    Ich arbeite selbst beruflich in der IT Branche und habe viel mit Ubiquiti zu tun. Nur habe ich bisher nichts mit Gateways von Ubiquiti zu tun gehabt. Firewall technisch arbeite ich beruflich sowohl privat mit Sonicwall. Da ich aber ein großer Ubiquiti Fan bin und sämtliche Hardware davon zuhause habe, wollte ich mein Setup mit dem Security Gateway vervollständigen.


    Ich weis das die UDM nicht wie eine herkömmliche Firewall arbeitet und zunächst mal alle Ports freigegeben sind. Nun möchte ich aber dass wie bei meiner Sonicwall alle Ports (außer die ich freigegeben habe) z.B. von LAN in WAN gesperrt sind.


    Wie kann ich das am einfachsten umsetzten?

    Danke vorab für eure Unterstützung.


    Grüße

    Patrick

    Zitat von swag

    In Wiki sind gute Artikel dazu


    Z.B.


    Firewall-Regeln 2.0 by defcon

    Hallo Swag,


    danke für die Info.

    Leider ist der Beitrag für mich viel zu umfangreich das ich damit etwas anfangen könnte,.

    Generell geht es mir im ersten Step nur darum, alle Ports (bis auf die Ausnahmen) zu sperren.


    Ich habe ein Produktiv und-Gastnetz die bereits getrennt sind. Geräte untereinander dürfen Netzübergreifend nicht kommunizieren. Computer und Mobilgeräte dürfen im Produktivnetz alles. lediglich die Ports müssen von LAN in WAN gesperrt werden.


    Danke :smiling_face:

    Ich habe soweit das meiste hinbekommen was ich wollte, danke trotzdem.

    Aber dennoch habe ich eine Frage zu generell gesperrten Ports. Muss ich den alle Port (von bis) die ich sperren möchte in eine Gruppe packen und die dann einer Regel zuweisen.


    Ich habe Gruppen und Regeln erstellt in denen ich die Ports freigegeben habe die ich freigeben möchte und als letzte Regle, habe ich alle Ports gesperrt. Eigentlich arbeitet ja die UDM von oben nach unten.


    Oder was lief an der Stelle falsch?

    Zitat von Patrick089

    Oder was lief an der Stelle falsch?

    Da du nicht zeigst was du wie eingestellt hast.. kann das nur in wilden Rätzelraten enden.

    Zitat von Patrick089

    Muss ich den alle Port (von bis) die ich sperren möchte in eine Gruppe packen und die dann einer Regel zuweisen.

    Ja, du kannst aber auch „1-65535“ angeben.

    Das klappt... sinnvoll ist aber was anderes da im passenden IPSet dann ein Tabelle erzeugt wird die 65356 Zeilen enthält.

    Üblich sagst du am Ende einfach DROP von ANY zu ANY. Das is Performater, da nicht auf Port geprüft werden muss

    und damit am ende ALES gesperrt ist was vorher nicht erlaubt wurde.


    Im Hintergrund werkelt da ganz normal IPTables, (eigentlich NFT aber mit dem IPTables frontend) mit ein paar erweiterungen

    und der Standart „Ipset“ Erweiterung.



    Zitat von Patrick089

    Ich weis das die UDM nicht wie eine herkömmliche Firewall

    Das ist auch ein Router mit Firewall und keine Firewall die auch Routen kann..

    Router sind dazu da zum Routen. Es ist aus der dieser Sicht Logisch das erst einmal ALLES

    erlaubt ist. (oder sperrt ne AVM, nen ASUS, CISCO per Default ?)

    Zitat von gierig

    Üblich sagst du am Ende einfach DROP von ANY zu ANY. Das is Performater, da nicht auf Port geprüft werden muss

    und damit am ende ALES gesperrt ist was vorher nicht erlaubt wurde.

    Danke für die Info, kannst du mir ma einen Screenshot zukommen lassen wie das einzustellen wäre?

    Also zuerst habe ich meine Erlaubt Regeln und zum Schluss dann die Block Regel mit deiner Einstellung?

    Zitat von Patrick089

    Danke für die Info, kannst du mir ma einen Screenshot zukommen lassen wie das einzustellen wäre?

    Das hier blockt alles was in WAN geht, weg...

    Ist aber doch eigentlich selbserklärend oder ?





    Zitat von Patrick089

    Ich weis das die UDM nicht wie eine herkömmliche Firewall arbeitet und zunächst mal alle Ports freigegeben sind. Nun möchte ich aber dass wie bei meiner Sonicwall alle Ports (außer die ich freigegeben habe) z.B. von LAN in WAN gesperrt sind.

    Hat sich was grundlegendes geändert bei SonicWALL ? Default war immer Alles darf raus aber nichts rein.

    Zitat von gierig

    Hat sich was grundlegendes geändert bei SonicWALL ? Default war immer Alles darf raus aber nichts rein.

    Bei Sonicwall ist der fefault Zustand so das weder etwas rein noch raus kommt.

    Wir konfigurieren die SW so das nichts rein kommt und nur die freigegeben Port raus kommen. Wenn eine Portanfrage von LAN in WAN geht wird der Port automatisch bei der Antwort von WAN in LAN für diese Antwort freigegeben. Deswegen bleibt der default Zustand so dass alle Ports von WAN in LAN geblockt werden. Hoffe ich habe mich halbwegs verständlich ausgedrückt :-).


    Mit ist nützlich klar das eine UDM an die Komplexität einer SW nicht ran kommt, aber ich möchte mich damit mal beschäftigen :-).

    Zitat von Patrick089

    Bei Sonicwall ist der fefault Zustand so das weder etwas rein noch raus kommt.


    Beitrag
    RE: UDM Ports sperren
    (Zitat von gierig)

    Bei Sonicwall ist der fefault Zustand so das weder etwas rein noch raus kommt.
    Wir konfigurieren die SW so das nichts rein kommt und nur die freigegeben Port raus kommen. Wenn eine Portanfrage von LAN in WAN geht wird der Port automatisch bei der Antwort von WAN in LAN für diese Antwort freigegeben. Deswegen bleibt der default Zustand so dass alle Ports von WAN in LAN geblockt werden. Hoffe ich habe mich halbwegs verständlich ausgedrückt :-).

    Mit ist nützlich klar das eine UDM…
    Patrick089


    By default, the SonicWall security appliance's Stateful packet inspection allows all communication from the LAN to the Internet, and blocks all traffic to the LAN from the Internet.


    Aber gut das ist dann Stateful packet inspection aber so modernen kram.. :smiling_face:



    Zitat von Patrick089

    Wir konfigurieren die SW so das nichts rein kommt und nur die freigegeben Port raus kommen.

    Ja gut kann man machen erst alles dicht machen und dann 1024 - 65536 wieder freigeben weil das ist ja der Port der

    rauswill und der bei TCP eher zufällig gewählt wird. Oder meinst du das Anfragen an den Destination Ports also ausgehende port 80 für

    HTTP dann rausdürfen ?


    Dann schau mal auf Traffic Rules, ein etwas modernere Ansatz um nur bestimmte art von traffic zu erlauben..

    Danke für eure Unterstützung. gierig ich bin mir bei deinem Zitat nicht ganz sicher wie das abläuft. So tief bin ich noch nicht in der Materie wie ich es gerne hätte. Aber laut meinem Kollegen ist alles von WAN in LAN dicht. Vielleicht läuft das so ab wie du beschrieben hast.


    Ich habe gestern Abend noch etwas herumgespielt, so sehen aktuell meine Regeln aus.



    Der Plan war, Regel 2000 bis 2011 die Freigaben von LAN in WAN einzurichten und dir Regel 4000 Block letztendlich alles weg.


    Wenn ich die Regel 4000 so einstelle:

    dann geht garnichts mehr durch. Dies hatte mir gierig oben ja als Beitrag gepostet.


    Von WAN in LAN scheint alles geblockt zu sein. Zumindest schlägt der Onlineportscanner nicht an.


    Sry wenn ich mich etwas "dumm" anstelle, ich geb mein bestes Leute :-).

    Sieht für mich auf den ersten Blick schlüssig aus. Eingehend ist nur die Plex Freigabe offen und ausgehend nur das was du möchtest...

    Hast du schon mal versucht das so wie im Screenshot einzustellen... "Before Predefined Rules"... Ich muss zugeben ich bin da aber auch nicht so fit was die Unifi Firewall angeht.