Grundsatzfrage Frage zu Firewalling "Address Groups"

Es gibt 31 Antworten in diesem Thema, welches 2.032 mal aufgerufen wurde. Der letzte Beitrag () ist von tomily.

    Hallo zusammen,


    ich habe mal eine Grundsatzfrage und stehe extrem auf dem Schlauch.


    Wie kann ich Hosts im Internet (z.b. mailserver, domänen etc.) anlegen und in einer Firewallregel berechtigen?


    Bisher verwende ich eine Sophos Firewall und habe dort (wie auch auf anderen Firewalls) Gewisse Regeln INS internet erstellt.
    Ich möchte nicht den kompletten Verkehr erlauben, sondern nur an gewisse Ziele. In der UDM kann ich aber nur fixe IP-Adressen konfigurieren.


    Wie erstelle ich denn eine Gruppe mit Hosts im Internet wie z.b. mailserver1.test.de, server2.test.de usw.


    Bin neu in der Unifi-Welt, deshalb sorry für die Basisfrage.


    Liebe Grüße und Danke

    Tom

    Moin, das geht meine ich nur über Traffic Rules:

    Danke für deine schnelle Rückmeldung. Das ist schon mal sehr nahe dran danke!
    Das klappt auch, allerdings ist das keine wirkliche Firewall-Regel.


    Am Beispiel eines Mailversands möchte ich z.b. NUR Port25 an einen Mailserver freigeben.


    Bei der TrafficRule grenze ich die Destination ein, allerdings nicht den Port. In der Firewallregel ist es genau andersrum.


    Bin grad etwas enttäuscht von meiner neuen Anschaffung :frowning_face:

    Bei den FW Regeln kannst du doch Destination (leider nur als IP und nicht als FQDN) sowie Port festlegen.


    mit einigen Destinations mit fixen IPs mag das gut gehen


    aber mit AWS wird das glaube ich schwer

    Mein Projekt

    Hi,


    danke! Genau das ist ja das Problem. 90% der Server haben mehrere IPs hinter einem DNS-Eintrag, oder wechseln die IPs so oft wie ich meine Unterhosen :smiling_face:


    In meinen Augen ist die UDM dann einfach keine ernstzunehmende Firewall?


    Toller Controller, aber das ist für mich dann unbrauchbar. Vielleicht habe ich die Lösung aber auch noch nicht gefunden =)

    Ich glaube dann bleibt dir nur hoffen und warten ob/wann FQDN unterstützt wird oder umsteigen auf was anderes

    Mein Projekt

    Zitat von tomily

    Das klappt auch, allerdings ist das keine wirkliche Firewall-Regel.

    Ja, das ist auch auf den höheren OSI-Layern.


    Die Firewall bei Unifi ist erstmal auschließlich auf Layer 3. Durch die Traffic Rules kannst du jetzt auch das machen was "richtige" Firewalls mit den PortGruppen machen, ist aber eher eine Ergänzung zur Firewall.


    Zitat von tomily

    In meinen Augen ist die UDM dann einfach keine ernstzunehmende Firewall?

    Du kannst die jetzt nicht mit deiner Sophos vergleichen, das eine ist eine reine Firewall das andere ist ein All In One Gatway mit Firewall.

    Da kann man nur auf die nächsten Releases warten oder deine Sophos dazwischen hängen für die Clients.


    Zitat von tomily

    Ich habs getestet. Leider zieht die Regel tatsächlich nicht, ohne Firewall. Und wenn ich im Firewalling "ANY" eintragen muss, dann ist es ja schon zu spät, bevor die Regel überhaupt greifen kann.

    Habe selber Regeln für DNS, das klappt ohne Probleme, hast du denn es auch auf Block stehen?

    Erst mal herzlichen Dank für die schnellen und kompetenten Antworten. Das kenne ich so nicht aus Foren :smiling_face: DANKE!


    Es stimmt, ich darf wohl von einem All-In-One-Gerät nicht zu viel erwarten. Dafür ist es ja trotzdem ein Stabiles System.

    Die Traffic-Regel steht auf Allow. Allerdings klappt der Mailversand trotzdem nur, wenn ich dafür eine Firewallregel anlege. Benötige ich diese trotzdem?

    Nur zum Verständnis. Wenn ich dich richtig verstanden habe benötige ich KEINE Firewallregel, sondern die Traffic-Rule genügt? Hier meine interpretation:



    Dein Ziel ist ja:

    Alles blocken AUßER die DNS Namen.


    Dann würde ich folgendes machen.

    1. Block Internet auf dem gesamten Netz

    2. Allow DNS Gruppe


    Also alles Traffic Routes, die block Internet regel könntest du auch über die FW machen.



    Für die Ports könntest du ja sagen, hey alles was ankommt und nicht Port 25 ist, wegschmeißen, dass geht auch über die FW

    Da ich grundsätzlich alles über das Firewalling erreichen wollte, habe ich schon fleißig regeln eingerichtet.
    Ganz klassisch für meine Zwecke je eine Regel. Am Schluss dann die Default-Block. Somit ist alles nicht explizit freigegebene gesperrt.

    Das wäre ja dann fast so, wie du es meintest? Wenn ich meine Firewallregel "Emailversand" beende und dafür die Traffic-Rule erstelle, müsste das ja eigentlich klappen?


    Wenn das so geht und ich es verstehe, wäre das tatsächlich eine annehmbare Alternative :smiling_face:


    Die FW-Regeln funktionieren, nur die Traffic Rules nicht :grinning_squinting_face:

    Zitat von tomily

    Das wäre ja dann fast so, wie du es meintest?

    Hört sich erstmal gut an.

    Zitat von tomily

    Wenn ich meine Firewallregel "Emailversand" beende und dafür die Traffic-Rule erstelle, müsste das ja eigentlich klappen?

    Wie sieht die denn aus?

    Kannst mal versuchen die zu deaktivieren, da aber Traffic Rules schichtmäßig über der FW Regel liegen und du ja mit der Traffic Rules die DNS adressen aufmachst, vermute ich mal dass er da auch Port 25 durchlässt, also die FW Regel aushebelt, das müsstest du probieren.


    Ich habe immer mal wieder einzelne DNS Adressen freigeschaltet, da hat die Rule sofort gegriffen, auch wenn FW Regel zu war, sollte anders rum auch sein.

    Ich dachte ich hätte es schon geschrieben. Sobald ich die FW-Regel Ausschalte, geht der Mail versand nicht mehr.
    Und eigentlich sollte es das ja nach deinen Aussagen durch die Trafficrule trotzdem.


    Schade. Werde mal weiter rumtüfteln müssen, bin aber echt enttäuscht :-/

    Ok, dann ist gehen die Traffic rules nur auf http etc. Dann müsstest du die fw Regel drin lassen.


    Kannst du denn die erlaubten seiten erreichen?

    Es geht mir nicht um die Freigabe von Webseiten, sondern Basisdienste wie EMAIL oder Dateidownload von meinen Servern zu erlauben.


    Diese dürfen Dateien von Updateservern herunterladen oder Emails versenden. Aber jeweils halt nur über Ihre Ports von den angegebenen Servern.
    Das Beispiel mit dem Mailversand ist ganz gut. In dem Fall ist es eine NAS in dem NEtz, die Emails versenden können soll.

    Moin, also erstmal habe ich Internet für einige Netze gesperrt:


    Dann die DNS Domain aufgemacht, hier kann ich keine Ports einstellen.




    Vielleicht kannst du ja die Block Traffic Regel machen und dann eine FW Regel für die Ports. Getestet habe ich das nicht und weiß gerade auch nicht ob wir an dem Punkt schon waren.