UDM Ports freigeben (kein Portforawarding)

Es gibt 4 Antworten in diesem Thema, welches 364 mal aufgerufen wurde. Der letzte Beitrag () ist von gierig.

    Hallo zusammen,


    Vorweg: ich habe intensiv recherchiert ob es zu diesem Thema schon einen Treat gibt. Aber leider habe ich weder hier noch wo anders etwas verständliches im Internet dazu gefunden.


    Um meine Denkansätze zu verstehen, hier eine kurze Einleitung :-).


    Beruflich bin ich in der IT-Sicherheitsbranche tätig. Ich arbeite mit Sonicwall Hardware. Für diejenigen die nicht wissen was das ist; es handelt sich um eine physikalische Hardware Firewall von Dell.


    Generell ist bei einer DELL Firewall in den Default Einstellungen alles blockiert. Also der ein- und ausgehende Datenverkehr ist komplett dicht. Unabhängig von den Netzten kann ich in der Firewall von LAN und WAN und umgekehrt meine z.B. Ports in Form von Gruppen und vieles mehr freigeben, um den Datenverkehr freizugeben. Soweit hoffe ich alles verständlich.


    Da ich beruflich in den Bereichen Netzwerk und WLAN mit UniFi zu tun habe, habe ich UniFi auch privat im Einsatz. So habe ich mich letztes Jahr auch dazu entschieden, mir eine UDM zu holen um alles etwas stimmiger zu haben. Es sollen langfristig auch Kameras zum Einsatz kommen.


    Mir ist natürlich klar, das eine Sonicwall um Welten professioneller als eine UDM ist. Für meine Zwecke reicht die UDM. Außerdem möchte ich mich mit dem Thema UniFi mehr beschäftigen.


    Wo ich nun überhaupt nicht bei UniFi klar komme, sind die Portfreigaben. Ich weis wie Portforawarding und Netz Isolation funktionieren. Ich denke das ich auch bei den Ports alles richtig gemacht habe, aber ich bin mir nicht sicher.


    Fragen:

    1: Gehe ich richtig mit der Annahme das bei der UDM im default der komplette Datenverkehr offen ist? Also keine Einschränkungen.


    2: könnt ihr mir mal einen dreizeiler oder ein Bild euerer Konfiguration posten um meine Einstellungen abgleichen zu können?! Internet IN und OUT sollten eigentlich klar sein, nur habe ich den Eindruck das die Einstellungen genau das Gegenteil bewirken als das was sie ausdrücken.


    Meine Annahme ist, das die UDM alle Ports im default offen hat. Ich erstelle also und gebe diese von LAN und WAN und umgekehrt frei. Zuletzt folgt die Regel Any Any Drop.


    Tut mir leid wenn ich mich etwas doof stelle. Aber ich komme darauf nicht klar 😅. Und was ich gelesen habe, bin ich damit nicht alleine.


    Meine console hat die Version 3.2.12.

    Oft weichen ja die Schaubilder aus dem Netz ab, weil anscheinend viele User unterschiedliche Versionen installiert haben bzw. Das alte oder neue Interface verwenden. Das neue Interface kann man ja ehh in die Tonne treten.


    Vorab vielen Dank.

    Patrick

    Moin,


    Zitat von Patrick089

    es handelt sich um eine physikalische Hardware Firewall von Dell.

    Ahm.... also wie sag Ich es am besten.... DELL hat den kram bereits 2016 verkauft

    das ist 8 Jahre her und war damit nur von ca. 2012 bis 2016 in DELLs Offiziellen Besitz.


    Zitat von Patrick089

    Generell ist bei einer DELL Firewall in den Default Einstellungen alles blockiert.

    Ja einer Firewall (wie auch Checkpoint, ASA, oder OpenXX) ist das auch die natur der Dinge.

    Zitat von Patrick089

    Meine Annahme ist, das die UDM alle Ports im default offen hat. Ich erstelle also und gebe diese von LAN und WAN und umgekehrt frei. Zuletzt folgt die Regel Any Any Drop.


    Tut mir leid wenn ich mich etwas doof stelle. Aber ich komme darauf nicht klar 😅. Und was ich gelesen habe, bin ich damit nicht alleine.

    Ja Das ist auch die Aufgabe eines Routers, der soll verbinden. Ob Cisco, Juniper, der Platikbomber

    der beim Internet Provider dabei ist, Huwei oder halt auch Unifi.

    Das sind Router die ggf. Firewall Funktionen haben.


    Deine Annahme ist nur so Halb richtig:


    Lan zu WAN ist erstmal alles erlaubt. IPv4 wird über ein Zwangs NAT geleitet

    (Overload, PAT, Masquerade, Port BasedSourceNAT, wie du es immer nennen willst)

    WAN zu LAN dann natürlich nur das was vor in den NAT Tabellen geöffnet ist also

    typisch der Rücktraffic. Das natürlich Statefuel (nur related / Establish dürfen rein)


    Bei IPv6 greift aus mangel an NAT nur das Statefuel und erlaubt nur related / Establish

    von WAN zu LAN.


    LAN zu LAN ist natührlich erlaubt alles (weil es ist ein Router)

    Dazu kommen dann ggf. noch ein MDNS Proxy, ICMP Proxy als kleine helfer

    für die Typischen Dinge die man im SOHO hat.


    Linux basiert, also firewall via Netfilter mit Iptabes und IPSET als backend.

    Irgendwelche Script ziehen gerne Neue Filme Listen für Alien, TOR, Böse IP

    (landen alle im einer IPset tabelelle wenn aktiviert) + Geo Datenbank +

    eingekaufter Closed Source KRAM fest im Kernel für die Traffic Erkennung (DPI)


    IDS ist das gute alte Suricata mit den typischen Opensource regeln + ein paar eigne.

    suricata lauscht dabei nur und gibt nen Altert den das UNIFI system dann ggf als

    IPtables / IPSET Regle etabliert um die Vereisung zu unterbinden)



    Zitat von Patrick089

    . Das neue Interface kann man ja ehh in die Tonne treten.

    ? Ist dem so und ist da nur ein wages Gefühlt weil du mit der alten „aufgewachsen“ bist

    und Probleme hast dich umzugewöhnen. Die neue ist mittlerweile (nach langer Reife)

    VIEL Besser als der alte kram...


    In meiner Vorstellung daheim sitz du dann grade dem 17“ CRT, die Serielle Kugel Maus in der

    Hand und versucht auf deinem aktuellen WIN2K den Teles ISDN zu Konfigurieren..

    (sorry ein wenig Sarkasmus kann ich mir nicht verkneifen, nicht persönlich gemeint)

    Zitat von gierig

    .... also wie sag Ich es am besten.... DELL hat den kram bereits 2016 verkauft

    das ist 8 Jahre her und war damit nur von ca. 2012 bis 2016 in DELLs Offiziellen Besitz.

    Mhh, dazu kann ich nichts sagen wem die Firma gehört. Auf meiner nagelneuen TZ310 steht immer noch Dell, somit sieht es für mich so aus als würde es auch Dell gehören. Aber das ist ja in erster Linie egal :-).


    Zitat von gierig

    Ja Das ist auch die Aufgabe eines Routers, der soll verbinden. Ob Cisco, Juniper, der Platikbomber

    der beim Internet Provider dabei ist, Huwei oder halt auch Unifi.

    Das sind Router die ggf. Firewall Funktionen haben.

    Okay, danke für die Ausführliche Erläuterung, wollte jetzt nicht den ganten Text Zitieren.


    Aber um meine Kernfrage zu beantworten: Muss/sollte ich dann Regeln in der UDM erstellen „Internet out“ so wie ich sie beschrieben habe. Also zuerst Gruppen erstellen die die jeweiligen Ports zusammen fassen und diese dann in „Internet out“ freigeben und zum Schluss Any Any Drop. Ich will das von innen nach außen nichts raus geht außer die Ports die ich freigebe.


    Internet In ist dann für mich soweit klar.


    Es tut mir echt leid wenn ich etwas Dümmlich erscheine, aber so ganz erschließt sich mir das Konzept von diesem „Secrity“ Gateway nicht. Und die GUI hilft mir persönlich dabei nicht wirklich.


    Alles gut Gierig :-).


    Nein, Gott bewahre. Optisch finde ich die neue Oberfläche viel schöner und vieles ist einfach zu Händeln als in der alten GUI . Das stimmt schon. Da habe ich mich etwas unglücklich ausgerückt :-). Aber korrigiere mich bitte wenn ich falsch liege. In der alten GUI hatte ich wesentlich mehr Parameter einzustellen die jetzt einfach komprimiert wurden und mehr versteckt sind.


    Danke für deine ausführliche Antwort.

    In ist ja ingress und out egress. Local zur UDM

    Evt sinnvoll Regeln nur bei in zu setzen. Bei out bin ich mir nicht sicher mit der Richtung und dem NAT.


    Evt hilft Dir ja das Wiki oder die UI Seite


    UniFi Gateway - Introduction to Firewall Rules
    UniFi Gateways include a powerful Firewall engine to provide maximum network security. We recommend most users configure the Firewall using Traffic Rules. They…
    help.ui.com


    Firewall-Regeln 2.0 by defcon

    Zitat von Patrick089

    Auf meiner nagelneuen TZ310 steht immer noch Dell,

    TZ310 ? Mit Dell Branding ? Ich finde schon keine TZ310 im Portofolio auch nicht

    als legacy...Sicher ?


    Zitat von Patrick089

    Aber um meine Kernfrage zu beantworten: Muss/sollte ich dann Regeln in der UDM erstellen „Internet out“ so wie ich sie beschrieben habe. Also zuerst Gruppen erstellen die die jeweiligen Ports zusammen fassen und diese dann in „Internet out“ freigeben und zum Schluss Any Any Drop. Ich will das von innen nach außen nichts raus geht außer die Ports die ich freigebe.

    Korrekt.

    Zitat von Patrick089

    In der alten GUI hatte ich wesentlich mehr Parameter einzustellen die jetzt einfach komprimiert wurden und mehr versteckt sind.

    Über „Versteckt“ kann man Diskutieren. Abe mehr? Ich denke nicht, grade weil alles was „Neu“ ist

    also einiges IPv6, Traffic Rules, OSPF, VPN Geschichten es NUR in der neue GUI gibt.