UDM Ports sperren

Es gibt 26 Antworten in diesem Thema, welches 3.061 mal aufgerufen wurde. Der letzte Beitrag () ist von Patrick089.

    Ahhh soglangsam wird nen Salami draus..

    Wie schau z,.B deine „Standard“ Regel aus ?



    ALSO:

    ich habe mal „AllowHTTP" and „BlockAny" bei mir hinzugefügt just um zu testen das das auch geht.

    Wie zusehen als AFTER damit der Rücktraffic über die vordefinierten „Allow Establish“ auch zurückdarf.




    Die „AllowHTTP" erlaubt die Ports 80 und 443 in der Portgruppe „HTTP"



    Die Wortgruppe sieht dann so aus.


    Und die Block wie gehabt wie oben (bloß als After)



    Das geht genau so und sollte das sein was du willst ?


    Wichtig ist sich nicht bei der Freigabe nicht mit Source und Destination zu verhindern...

    Zitat von jkasten

    Hast du schon mal versucht das so wie im Screenshot einzustellen... "Before Predefined Rules"... Ich muss zugeben ich bin da aber auch nicht so fit was die Unifi Firewall angeht.

    Ja hab ich, funktioniert aber auch nicht.

    Dann blockt die Regel von Grund auf alles da die Regel an vorderster Stelle steht.

    Zitat von Patrick089

    Ja hab ich, funktioniert aber auch nicht.

    Dann blockt die Regel von Grund auf alles da die Regel an vorderster Stelle steht.

    Hast recht, das kann nicht gehen. gierig ist da wesentlich fitter in den Regeln....

    Zitat von gierig

    Ahhh soglangsam wird nen Salami draus..

    Wie schau z,.B deine „Standard“ Regel aus ?

    Danke gierig für die Infos, hatte deine Nachricht auf anhieb garnicht gesehen.

    Ich werde das heute Abend mal versuchen.


    Meine Regeln sehen wie folgt aus:



    Dabei kannst du die Regel 4000 ignorieren.

    Regel 2000 - 2011 sind Portgruppen die von LAN und WAN freigegeben sind. Der Rest sind ja default Regeln.



    Ich habe mal Spaßhalber einen Online Portscanner durchlaufen lassen, anscheinend ist alles eingehend von grund auf geblockt.

    Ausgehend scheint bisher alles frei zu sein.

    Zitat von Patrick089

    ch habe mal Spaßhalber einen Online Portscanner durchlaufen lassen, anscheinend ist alles eingehend von grund auf geblockt.

    Das is es eh. Warum sollte was auf sein ? Ein Port ist nur geöffnet wenn er einen Dienst anbietet oder da Kommunikation drüber

    läuft.


    Simple (sehr vereinfacht Darstellung:

    Dein Privater PC 192.168.1.3 fragt bei Webserver 1.1.1.1

    Sprich eine TCP Verbindung von 192.168.1.3:7262(der Quell Port port is random) nach 1.1.1.1:80

    Das NAT auf den router macht aus der 192.168.1.3:7262 die öffentliche IP vom Internet Anschluss sagen wir 2.2.2.2)

    Webserver antwortet dann von 1.1.1.1:80 zu 2.2.2.2:7262) und das NAT weis das die Anfrage zu 192.168.1.3:7262 mus

    Nur das wird weitergeleitet, die Default Statefuel Firewall macht diesen Rückport dann dynamisch auf für GENAU diese

    Verbindung. (das is diese feste „Allow establish“ Regel.

    Deine Ich erlaube nur Kram der nach draußen darf ist zwar nett aber im Grunde zwecklos.

    (na ja um zu verhindern das A/B und C auf ganz server zugreifen oder surfen dürfen, D aber schon schon sinnvoll)

    Aber böse Software macht nicht einfach „port 3“ auf oder will zu „Port 5“ Die verbinden sich über PORT 80 / 443 / 56

    all der kram den DU eh auf hast weil du willst ja surfen.


    Zitat von Patrick089

    Meine Regeln sehen wie folgt aus:

    Ich meine einer der Regeln im Detail. Gerne wird hier Quelle und Source Vertauscht oder „Blödsinn“ eingetragen.

    Schau auf meine Regeln für HTTP wenn du Port 80 erlauben willst gehört das zur destination.


    Zitat von jkasten

    Hast recht, das kann nicht gehen. gierig ist da wesentlich fitter in den Regeln....

    Habe VIEL mit iptables in meinen früheren leben gemacht. Das ist quasi nur ein frontend für Iptables.

    (zusammen mit den „Alternativen Ruleset und ein paar Erweiterungen vom unifi system)

    und darüberhinaus habe ich irgendwann mal Ipv4 gefressen :smiling_face:

    Zitat von gierig

    Habe VIEL mit iptables in meinen früheren leben gemacht. Das ist quasi nur ein frontend für Iptables.

    (zusammen mit den „Alternativen Ruleset und ein paar Erweiterungen vom unifi system)

    und darüberhinaus habe ich irgendwann mal Ipv4 gefressen

    Iptables habe ich nur am Rande mitgenommen.... und meistens per CLI und nicht mit irgend nem frontend. In der Firma ist es Sophos und Securepoint, auch wenn alle im Hintergrund Iptables nutzen ist jedes Frontend anders.

    So ihr lieben, ich habe mal das Pferd von hinten aufgezäumt.


    Ich habe folgende Grundregele erstellt:


    Somit sind alle Port von LAN in WAN geblockt.


    Dann habe ich zuvor Regeln erstellt mit Portgruppen die von LAN in WAN freigegeben sind.

    Kleiner Ausschnitt:



    Der Fehler war das ich nicht "Internet out" sondern "Internet in" verwenden musste.

    Des weiteren hatte ich in den Regeln Source und Destination Any eingetragen. Somit ist nun Source meine selbst definierte Port Group und Desination = Any.

    Somit sind alle Port von LAN in WAN geblockt außer die ich in den davorstehenden Regeln freigegeben habe.


    Danke für euere Unterstützung.


    P.s Weitere Themen folgen sicher :grinning_squinting_face:

    Einmal editiert, zuletzt von Patrick089 ()