Welche FW-Regeln / Gruppen beinhalten die IP?

Von solche, doch sehr interessanten Informationen ist die Oberfläche scheinbar noch weit entfernt.

Ich hatte die Hoffnung, dass mir dies hier Informationen liefert, öffnet aber nur die Gesamtseite der Applications Firewall.

Geht nicht mit Unifi, selbst Kenntnisse über IPtables führen nicht weit da IP / Ports / Domainnamen gerne in IPSets eingesperrt werden die

dann so schöne name tragen wie „UBIOS_62ff7435f435870f273ca295„ in der Unterlisten für IP4 und IPv6 drinnen sind

und nur In der Datenbank die Verknüpfung zu der rule ist..

UDM und Co. sind Router und Controller für AP, mehr nicht, auch wenn die Werbung was anderes verbreitet.

Das was sie machen ist letztlich NAT mit Regeln und dies auch bei VLANs (einziger Unterschied zu einer Fritz!Box).

Von Firewalls sind sie meilenweit entfernt, sowohl was der Informationsgehalt als auch die Möglichkeiten angeht. So kann man nicht mal unter der Haube feststellen, welche dynamische WAN-IP-Adresse ich gestern hatte. Da weis mein DDNS-Anbieter mir mehr zu berichten.

Zitat von gierig

Geht nicht mit Unifi, selbst Kenntnisse über IPtables führen nicht weit da IP / Ports / Domainnamen gerne in IPSets eingesperrt werden die

dann so schöne name tragen wie „UBIOS_62ff7435f435870f273ca295„ in der Unterlisten für IP4 und IPv6 drinnen sind

und nur In der Datenbank die Verknüpfung zu der rule ist..

Tja, man hätte da vielleicht Netzwerk-Admin ran setzen sollen, die auch etwas Programmieren können und nicht Programmierer mit/ohne wenig Netzwerkerfahrung.

Moin, da bleiben einem nicht viele Möglichkeiten.

Du gehst dafür in deine Geräteliste.

Suchst dort die IP deines begehrens, raus.

Ganz links stehht dann der Name deines Gerätes, und dann must du dir den Rest zusammen reimen.

Soll heissen, wenn die IP ein PC ist könnte er vlt. ein Admin PC sein, also ist er in der Gruppe "Admingeräte" zu finden.

Genauso wird es dann auch eine Regel geben im LAN IN oder LOKAL wo drin steht "erlaube oder blockiere Admin Geräte für ..."

Ist dieses Gerät ein TV wirst ihn vlt. in ein IOT Netz gesteckt haben, Da verfährst du auf ähnliche weise.

So brauchst du nur nach ein oder zwei Regeln suchen und die dann entsprechend einsehen.

Eine andere Auflistung oder eine Suche ist nicht vorgesehen oder vorhanden seitens Unifi.

Bin mir nicht mal sicher ob es überhaubt einer macht oder kann, von den anderen Herstellern.

Unerlässlich ist und bleibt eine anständige saubere Dokumentation seines Netzwerkes und die richtige Bezeichnung der Geräte und Regeln.

Nur so kannst du den Überblick behalten.

mfg

Naichbindas

#So sieht so etwas bei Sophos auf. Du siehst sauber, für jedes Gerät welche Regeln aufgestellt sind. Du kannst auch Gruppen anlegen und diesen gemeinsamen Regeln geben. Interessant z.B. bei VLANs oder Server-Gruppen.

Das Ganze ist die Netzwerk-Doku in sich.

Da sieht man deutlich, welche Regeln man wofür und wohin angelegt hat. Bin immer wieder begeistert, wenn ich neben unseren Netzwerk-Admin sitze. Das verstehe dann sogar ich.

phino Ok das ist doch schonmal was anderes.

Wie gesagt ich weiss nicht ob und wer sowas überhaupt unterstützt.

Vlt bessert Unifi irgendwann mal nach.

Man weis ja nie

Zitat von Naichbindas

Wie gesagt ich weiss nicht ob und wer sowas überhaupt unterstützt.

Na Sophos.
Du kannst gebraucht günstig Geräteerstehen. Sie müssen mindestens aus der Generation 3 stammen. Dann kannst du die kostenlose Home-Edition aufspielen.
Außerdem läuft die Home-Edition auch auf alle Intel-Geräte, die mindestens 2 Netzwerk-Schnittstellen haben, 3 sind aber besser.
Also mit einem alten Board einfach mal ausprobieren.

Nein keine Files...

Hier mal ein Beispiel wie es im System aussieht:

"iptables -L“ ist dein erster Freund.

Chain UBIOS_WAN_LOCAL_USER (1 references) target prot opt source destination
  RETURN icmp -- anywhere anywhere ctstate NEW icmp echo-request /* 00000001095216662481 */. 
  RETURN gre -- anywhere anywhere match-set UBIOS_62ff7435f435870f273ca295 src /* 00000001095216662482*/
  RETURN all -- anywhere anywhere ctstate RELATED,ESTABLISHED /* 00000001095216663481 */
  DROP all -- anywhere anywhere ctstate INVALID /* 00000001095216663482 */
  DROP all -- anywhere anywhere /* 00000001097364144127 */

in IPTables sind die nur mit Platzhalter vermerkt . Dort heißt meine schöne GRE Regel nur „00000001095216662482„

die Chain „UBIOS_WAN_LOCAL_USER“ wird im übrigen von der Chain UBIOS_INPUT_USER_HOOK getriggert,

die wiederum von der Chain UBIOS_INPUT_JUMP und diese dann von der normalen System Input chain.

Schauen wir die GRE Regeln an (ich erlaube zwei meiner Internet Server einen Tunnel zur UDM)

das "match-set UBIOS_62ff7435f435870f273ca295" verweist auf ein IPSET

ipset list UBIOS_62ff7435f435870f273ca295
Name: UBIOS_62ff7435f435870f273ca295
Type: list:set
Revision: 3
Header: size 8
Size in memory: 176
References: 1
Number of entries: 2
Members:
UBIOS462ff7435f435870f273ca295
UBIOS662ff7435f435870f273ca295

Das IP Set hat zwei andere IPSets als Mitglieder, das „UBIOS6 hat ipv6 ip drinne das ist bei mit leer.

ipset list UBIOS462ff7435f435870f273ca295
Name: UBIOS462ff7435f435870f273ca295
Type: hash:net
Revision: 6
Header: family inet hashsize 64 maxelem 10000
Size in memory: 472
References: 1
Number of entries: 2
Members:
18.15x.xxx.xxx
18.2xx.xxx.xxx

Hey da sind meine IP endlich, die ich in der Firewall als IP Gruppe angegeben habe.

ein "ipset list“ ohne Listen name listen im übrigen alle auf

danke Tor/ Alien eingebaute liste ist die Ausgabe aber auch über 11 tausend Zeilen lang...

aber ein "ipset list | grep -B 10 192.168.1.1" würde dir was liefern. (das -B 10 zeigt die 10 Zeilen vor der Fundstelle um auch den Namen

den Namen der liste zu bekommen, mus evt. angepasst werden bei längeren listen)

Du siehst gaaaanz einfach Du musst nur firewall Techniker von Geburt sein oder 4 Jahre Iptables Asket gewesen sein (hab ich gemacht)

ZWEITE Möglichkeit und dienlich zur Information Beschaffung:

ALLES steht in der Datenbank. mach nen SSH zur der UDM und tunnel dir den Port 27117 auf deinen Rechner.

starte dein Lieblings MongoDB tool und verbinde dich mit dem localen Tunnel Port.

in der „ACE.firewallrule" stehen dann die Regeln drinne mit der Lustigen ID

Hier die GRE regel

in der „ace.firewallgroup" sind dann die Gruppen drinne...

Ist dir aufgefallen ? Die ID in der Datenbank sind andere als in der Iptables Ausgabe...

die Gruppen haben scheinbar den IPset Namen.. aber die Regeln selber folgen aber wohl eigene regeln.

Alles im alles kann man das machen aber Lustig ist das nicht......

Zitat von phino

Na Sophos.
Du kannst gebraucht günstig Geräteerstehen. Sie müssen mindestens aus der Generation 3 stammen. Dann kannst du die kostenlose Home-Edition aufspielen.
Außerdem läuft die Home-Edition auch auf alle Intel-Geräte, die mindestens 2 Netzwerk-Schnittstellen haben, 3 sind aber besser.
Also mit einem alten Board einfach mal ausprobieren.

Denk dran das die EOL ist. Du musst dann umsteigen auf die XG

Zitat von jkasten

Denk dran das die EOL ist. Du musst dann umsteigen auf die XG

Das gilt aber letztendlich für die kommerzielle Version und die Update-Garantie. Und Juli 2026 ist ja noch eine Weile hin.

Zum Testen ist eine SG135 Rev. 3 für 180 € vollkommen okay. Für 350 € bekommt man sogar welche mit LTE-Modul.

Und in 3 Jahren werden die ersten XGS 136 auf den Gebraucht-Markt kommen, weil sie abgeschrieben sind.
Unter der Haube läuft ja ein Intel-Board. Ich habe hier ein uraltes Intel-Board (DQ77KB mit G1610T) und 2 LAN-Port. Das läuft auch noch mit der aktuellen Sophos XG Firewall Home Edition.

Außerdem kann man auf allen Sophos auch noch Opensense installieren.

Zitat von phino

Das gilt aber letztendlich für die kommerzielle Version und die Update-Garantie. Und Juli 2026 ist ja noch eine Weile hin.

Zum Testen ist eine SG135 Rev. 3 für 180 € vollkommen okay. Für 350 € bekommt man sogar welche mit LTE-Modul.
Unter der Haube läuft ja ein Intel-Board. Ich habe hier ein uraltes Intel-Board (DQ77KB mit G1610T) und 2 LAN-Port. Das läuft auch noch mit der aktuellen Sophos XG Firewall Home Edition.

Außerdem kann man auf allen Sophos auch noch Opensense installieren.

Gilt für alle Versionen... Aber das stimmt bis 2026 ist noch etwas hin.