Grundsatzfrage Frage zu Firewalling "Address Groups"

Es gibt 31 Antworten in diesem Thema, welches 2.035 mal aufgerufen wurde. Der letzte Beitrag () ist von tomily.

    Danke für den Screenshot :smiling_face:


    Ich habe das mal nachgebaut, aber es funktioniert nicht. Habe das Gefühl, dass die Traffic-Rules bei mir nicht ziehen, wieso auch immer.

    Wenn die Firewallregeln alle beende, die ich im Einsatz habe, dann ist der ausgehende Traffic KOMPLETT möglich. Es zieht also auch die Block-Regel nicht.


    Ich würde mich von der Config mit den Ports verabschieden. Die Freigabe der Ziel-URLs (somit mit allen Ports) wäre für mich auch okey bzw. ausreichend.

    So sollte das doch eigentlich blockiert werden?




    Hallo

    Wie unterscheiden sich Verkehrsregeln von Firewall-Regeln?

    Firewall-Regeln werden in der Regel verwendet, um bestimmte Ports und IP-Adressen zu entsprechen.

    Traffic Rules kann in Kategorien wie App oder Domain übereinstimmen und Sie können den Verkehr auf intuitive und optimierte Weise filtern.


    Soviel zur Aussage von Unifi.

    Wen ich jetzt deine Screen´s sehe, dann sperrst du erst das Internet für ganze Netzwerke in den Trafffic-Regeln und willst dan aber wieder in der zweiten Regel etwas zulassen.

    Das funktioniert so aber nicht, da die Trafic-Rules das ganze auf DNS-Ebene verarbeiten, und wenn kein DNS mehr aufgelöst wird für Internetanfragen, dann kommen alle Geräte in den Netzwerken auch nicht mehr online.

    Wenn du aber dann wieder was freigeben willst dann kann das aufgrund der Sperre nicht mehr umgagngen werden.

    Ich würde wenn dann schon einzelne Geräten das Internet verbieten wenn im selben Netzwerk auch Geräte sind die Internt brauchen,

    und nicht dem ganzen Netzwerk. Das kannst du ganz leicht in den Traffic-Regeln einrichten.

    Soll heissen wenn kein Internet können keine Domainnamen mehr aufgelöst werden, die im Internet sind. Unifi zieht dazu klar Stellung das halt Unifi DNS benötigt wird.


    Zum Thema Port´s eingeben, das geht in den Traffic-Regeln auch, hier heisst es dann nur Anschluss.



    Hier gibst du dann einen oder mehrere Ports durch Komma getrennt ein.

    Beachte das dieses nur im Bereich IP Adresse möglich ist.

    Aber kurz gesagt eine gute Mischung aus Firewall und Traffic-Regeln ist schon ein feines Spielzeug.


    mfg

    Mann hat es nicht leicht, aber leicht hat es einen.. :face_with_tongue:

    Ganz herzlichen Dank für die ausführliche Antwort.

    Also ob Firewall oder Traffic-Rule ist mir grundsätlich erst mal egal. Mein Ziel ist es ganz klassisch pauschalt ALLES erst mal zu blockieren.

    Anschließend möchte ich einzelne Hosts den Internetzugriff auf bestimmte Ziele Erlauben.


    Nur das normale Client-Netz darf "überall" hin. Das sind dann Steuerungen der haustechnik oder Server.


    Deine Erklärung leuchtet mir ein. Mein Problem ist ja andersrum..es funktioniert ALLES statt nichts. Deshalb greift die Deny-Rule offensichtlich nicht.

    :grinning_squinting_face: Habe also noch einen Gedankendreher bzw. einfach etwas falsch gemacht :-/

    Du möchtest also mehreren Geräten den Saft zum Internet abdrehen, habe ich da dich richtig verstanden?

    Dann gehst du rein unter Traffic-Regeln, oben auf Blokieren und nimmst dort Internet und unten wählst du Geräte aus die das nicht dürfen.

    Mehrfachauswahl ist möglich.

    Also nicht das Netzwerk auswählen sondern mal runterscrollen, dan erscheinen deine Geräte.

    Alle die du sperren willst hakst du an und deine Server, und so weiter, auf denen dan dein Mail Server rennt, denn lässt du raus.

    Dann sollte das laufen was du dir wünschst.

    mfg

    Mann hat es nicht leicht, aber leicht hat es einen.. :face_with_tongue:

    Sorry wenn ich mich wiederhole oder mich undeutlich ausdrücke :smiling_face:


    Eine Normale Firewall Blockiert ja erst mal alles. Es wird dann pro Gerät freigegeben was es können darf.
    Kommt ein neues Gerät hinzu, darf es erst mal nirgendwo hin, bis man dies wieder explizit erlaubt.

    Genau das möchte bzw. muss ich sicherstellen. Aus diesem Grund möchte ich, dass pauschal alles Dicht ist und gebe dann Host für Host die Ziele frei.

    Naichbindas

    Bei deinem Vorgehen müsste ich ja bei jedem neue Gerät den Deny erst mal händisch wieder hinzufügen. Das ist sehr unglücklich.


    Unabhängig davon ist es aber ja so, dass alle Traffic-Regeln nicht greifen. Egal ob ich den Deny nun auf Host oder VLAN Ebene setze, der Client darf ins Internet. Den interessiert das überhaupt nicht, was ich unter den TrafficRegeln veranstalte.


    Ich habe zum Test ein Gerät Namens Windows10. Dieses habe ich in den TrafficRegeln blockiert. Es kommt aber trotzdem ins Internet:


    Ok, vlt wiederhole ich mich auch nochmal, aber hast du ein anderes DNS als Server im Netzwerk aktiv?

    Was hast du den bis jetzt so eingerichtet. Firewall und Traffic-Regeln?

    Irgendwo muss ja der Wurm sein..

    mfg


    PS: Auch wen du diese Regel erstellt hast, dauert es ein klein wenig, da der gesperrte PC ein Lease hatt und einen Cache.

    Mann hat es nicht leicht, aber leicht hat es einen.. :face_with_tongue:

    Moin, ich bin nicht der Fragesteller :winking_face:

    Bei mir hat die Regel bis zum letzten Network Update noch geklappt, wenn ich sie jetzt probiere gehts nicht mehr, da hast du recht, Unifi ist da sehr untransparent ist was genaue Infos angeht.

    Das DNS auf ner ganz anderen Ebene arbeitet ist mir bewusst, da es trotzdem bei mir funktioniert hat, habe ich das nicht weiter hinterfragt, jetzt sind anscheinend wirklich die DNS server mit geblockt wie du gesagt hast.

    Zitat von Naichbindas

    Zum Thema Port´s eingeben, das geht in den Traffic-Regeln auch, hier heisst es dann nur Anschluss.

    Ah das habe ich nicht gesehen, danke.

    Sorry für die späte Rückmeldung. Ich habe alles nochmal durchsucht und getestet. Ich glaube ich habe den Übeltäter gefunden.
    Und zwar hatte ich die Initiale Einrichtung anhand einer Anleitung aus dem Netz durchgeführt. Ich glabue die war einfach kacke :smiling_face:

    Es gibt eine DEFAULT-BLock Firewall Regel (Internet-OUT). In der sind alle privaten Netze hinterlegt.
    Ich gehe mal davon aus, dass die Firewall in der Priorität VOR den Traffic-Rules kommt und somit gewinnt.


    Wenn ich diese Regel beende, dann greifen die Application-Rules. Ich habe es mit einem Windows-Client getestet. Muss nun nur noch testen, ob ich somit auch die Ziel-Hosts für meine Linux-Systeme die Updateserver freigeben kann. Da kann ich evtl. morgen mehr dazu berichen.





    Die Default-Drop muss ich also am besten in die Traffic-Rules verlagern. Dort habe ich erst mal eine "DROP Internet" Regel erstellt. Darunter kann ich dann nach und nach die URLs für die einzelnen Hosts oder VLANs freigeben. Ich glaube das bringt mich deutlich weiter ans Ziel :smiling_face:


    Moin zusammen,


    ein letztes Mal nerve ich euch :smiling_face:
    Habe übers Wochenende mal meine Regeln umgestellt. Eine Verständnisfrage hab ich leider noch:


    Die globale "Internet Block Traffic Rule" sperret tatsächlich alles. D.h. die danach folgende Domain-Freigabe zieht nicht bzw. nur sporadisch.
    Was mache ich hier falsch bzw. wie kann ich sicherstellen, dass NUR die von mir eingetragenen Domains für das betroffene Netz erlaubt sind. Alles andere muss blockiert werden, was nicht explizit gewhitelistet wird :smiling_face:


    Sobald ich die Internet Block Regel pausiere, funktionieren die Zugriffe :smiling_face:



    Normal kenne ich das auch so es kommen erst die allow regeln und dann der block als "Clean-Up"


    Da die meisten firewall ja von oben nach unten arbeiten

    Mein Projekt

    tomily

    Hallo

    Eine Frage, hast du du dich nochmal mit der Funktionsweise der Firewall und der Traffic Regeln auseinander gesetzt?


    Also wenn du Firewallregeln nimmst.

    Diese werden der Reihe nach abgearbeitet, von oben nach unten. Daher musst du zwingend erforderlich erlauben Regeln vor blocken Regeln haben.

    Das heist oben musst du expliziet erst das erlauben was du dir wünschst und darunter was dann nicht gewünscht wird, blocken und zu guter letzt eine noch eine Regel erstellen, wenn nix von alle dem zuvor abgearbeiteten Regeln zutrifft was dann ausgeführt werden soll.

    Die Firewallregeln stehen auch nach meinen Kentnissstand über den Traffic Regeln.

    Soll also heissen wenn du vorher schon blockst dann wird eine allow die danach kommt nicht mehr abgearbeitet.


    In den Traffic Regeln kannst du noch ein wenig gezielter abarbeiten was gebraucht wird und das basiert aber auf deine vorher angelegten Firewallregeln, oder bessser gesagt haben die auch einen Einfluss darauf.

    Aber hier ist es egal ob du vorher eine Blockregel hast oder nicht weil Reihenfolge gibt es hier nicht.

    Aber für die meisten Sachen brauchst du halt die Unifi DNS deines Unifi Gateway´s.


    Zum Schluss wiederhole ich aber halt nochmal, das du bei Firewallregeln sowie auch bei den Traffic Regeln immer mal wieder Hand anlegen musst,

    das heist ohne Arbeit und dein zutun wird es nie gehen, dafür haben wir ja diese Unifi Hardware, die halt gepflegt werden muss, und du mal sagtest du willst keine Arbeit mehr haben wenn du später weitere Hardware hinzu fügst.

    Einne ultimative Lösung wird es da nicht geben.


    Aber zurück zum Thema, was ich dir damit sagen will, wenn du in der Firewall was blockst kann danach die firewall es nicht wieder freigeben, ich betone das Wort DANACH, auch die Traffic Regeln hebeln das nicht wieder aus.

    Darum lieber noch mal durch den Kopf gehen lassen was will ich genau, einen Plan machen und dann überlegen, was muss bei der Firewall rein, in der es in erster Linie darum geht Sicherheit ins System zu bringen und VLAN´s zu Maßregeln und oder ab zu schotten, sowie Administrative Aufgaben erledigen und mit Traffic Regeln dann versuchen das andere um zu setzen, wie Geräte untereinander was zu erlauben oder eingrenzen und so weiter., Netzwerke aubohren u.s.w..

    Bedenke aber das Firewallregeln vorher da schon eine Rolle mit spielen und das dann ein entsprechendes Ergebniss dann auch bei den Traffic Regeln eine Rolle spielt.


    mfg

    Mann hat es nicht leicht, aber leicht hat es einen.. :face_with_tongue:

    Hallo,


    zu erst mal danke für die schnellen und ausführlichen Rückmeldungen. Leider gingen die etwas am Thame vorbei. Aber ich konnte es analysieren und lösen.

    Zur obigen Aussage:
    Ja ich habe mich mit den Regeln auseinandergesetzt. Zuerst dachte ich auch, dass es an der Abarbeitungsreihenfolge gelegen hat.
    Dann habe ich aber festgestellt, dass die Reihenfolgen bei den TrafficRegeln nicht veränderbar sind.


    Da die BlockRegel eine Auswirkung gezeigt hatte, war mir schon klar, dass es in diesem Fall an den Firewallregeln nicht liegen konnte.
    Bin auf ein weiteres, eher nicht so schönes Thema der Unifi gestoßen:

    Die Domain-Freigaberegel hat in diesem Fall nicht gegriffen, da der anfragende Server einen anderen DNS Server verwendet hat, als die Firewall zum auflösen des Hosts. Da hinter dem Host mehre IPs stehen, haben die Firewall und der Server die IPs unterschiedlich aufgelöst. Sprich die angefragte "IP" hat nicht zur Freigabe gepasst.

    Nachdem ich den Server und die Firewall den gleichen DNS fragen lasse, hat es nun geklappt.

    Schade, dass die UDM keine DNS-Groups verarbeiten kann, welche alle dahinterliegenden IPs auflöst.

    Ich bin an mein Ziel gekommen und kann so damit leben. Es ist auch kein nacharbeiten notwendig, da alles geblockt ist, was ich nicht explizit freigegeben habe. Das mache ich schon seit Jahren auf anderen Systemen auch so.

    Mein Fazit ist, dass die UDM ein tolles Gerät ist, aber keine ernstzunehmende Firewall. Zumindest ist es für den gewerblichen Einsatz nicht passend. Für Zuhause genügt es :smiling_face:

    Vielen Dank euch allen und Grüße
    Tom