"neues" Interface: wie viele Firewallregeln vernünftig verwalten?

Es gibt 9 Antworten in diesem Thema, welches 360 mal aufgerufen wurde. Der letzte Beitrag () ist von Leitner.

    Hallo,

    ich gehöre immer noch zur "alten Garde", die das alte Interface benutzt. Nachdem aber - verständlicherweise - immer öfter dort Einstellmöglichkeiten verschwinden, muss ich wohl oder übel mal auf die "Neue" wechseln (vor allem gibt es ja glaub ich mit Network 8 das Alte gar nicht mehr).

    Nur ich komm dort einfach nicht zurecht. Nachdem ich einige hundert Firewallregeln habe, ist das für mich so derart unübersichtlich (nachdem die IN, OUT und LOCAL Regeln nun beisammen sind), dass es unübersichtlicher nicht mehr geht.

    Daher meine Frage: Wie verwaltet ihr damit "größere" Umgebungen (ich rede nicht von Konzernen, wo UI vermutlich sowieso die falsche Hardware ist)? Findet ihr euch mit dem Interface ab bzw. zurecht? Verwendet ihr Alternativen wie den API Browser? Oder liegts einfach nur an mir? :grinning_squinting_face:

    Grüße
    Patrick

    hab die zeit mal reingesehen und finds auch bescheiden dass man das jetzt nur noch via filter trennen kann (aber es geht)

    aber meine umgebung ist auch sehr simpel gestrickt mit 3-4 VLANs und vlan-übergreifenden geräten wie drucker und nas.

    Netzwerk:
    1x UDM Pro | 1x Cloud Gateway Ultra (Backup-Router) | 2x U6-Pro | 2x UAP-AC Pro | 1x UAP-AC-M | USW-Pro 48 POE | 1x US-24 (Backup-Switch) | (2x USW-Flex Mini) | 1x USW Lite 8

    Video:

    1x G3 Flex | 1x G3 Instant | 3x G5 Bullet | 2x G5 Flex | 1x G5 Turret Ultra | 1x UFP Viewport

    USV: Eaton Ellipse Eco 800 USB

    Main-Hardware: Windows Gaming PC | Mac Mini mit M1 | alter PC mit unRAID zum Spielen | DS1621+ Haupt-NAS | DS918+ Backup-NAS | Playstation 5 | iPad Pro 2020

    Smarthome: KNX | Homekit | Homebridge | Sonos | 12,6kWp Photovoltaik

    Zitat von Leitner

    Daher meine Frage: Wie verwaltet ihr damit "größere" Umgebungen (ich rede nicht von Konzernen, wo UI vermutlich sowieso die falsche Hardware ist)? Findet ihr euch mit dem Interface ab bzw. zurecht? Verwendet ihr Alternativen wie den API Browser? Oder liegts einfach nur an mir? :grinning_squinting_face:

    Ich nutze zwar keine Unifi-Gerät dafür, sondern OPNSense, aber ist dort nicht anders:


    Ich geben den FW-Regel eindeutige Beschreibungen, die klar zeigen was die Regel macht und für wen/was, z.b. "ALLOW_PRIVAT.NET_to_SERVER.net_SSH", also kurz ssh ist aus dem PRIVAT-Netz ins SERVER-Netz erlaubt


    Dann nutze ich für die Zusammenfassung von IP-Adressen die Alias-Funktion und gebe den ALIASEN eindeutige Namen ( z.b. IP-Local-Proxmox, Ports-Local-Proxmox ) und nutze die Aliase in den FW-Regeln, damit ich keien IP-Adressen in den FW-Regeln pflegen muss, sondern nur zentral in den Aliasen.

    Ändert sich eine IP oder kommen neue dazu, brauche ich nur den entsprechenden Alias zu editieren und die Änderung gilt in allen FW-Regel, wo der Alias genutzt wird, z.b. wenn ein weitere Proxmox-Server in mein Netz kommt.


    Dann hat die OPNSense einen großen Vorteil, die unterteilt FW-Regeln und mehrere, hierarchische Gruppen:

    - Floating ( gilt für alle Netze )

    - Gruppen ( eine Gruppen von Interfacen, VLAN etc.)

    - Interface ( nur einzelne VLAN oder Interface )


    Und das Regelwerk arbeitet auch so, Floating-Regeln gelten vor Gruppen-Regeln gelten vor Interface-Regeln.


    Und was wichtig ich: ordentliche Kommunkationsmatrix erstellen z.b. mit Excel und Co.

    Zitat von Leitner

    ...
    Nur ich komm dort einfach nicht zurecht. Nachdem ich einige hundert Firewallregeln habe, ist das für mich so derart unübersichtlich (nachdem die IN, OUT und LOCAL Regeln nun beisammen sind), dass es unübersichtlicher nicht mehr geht.

    ...

    Die sind zwar beieinander aber nicht durcheinander. Zudem gibt es den Filter für das was man sehen möchte (IN, OUT, LOCAL). Eine neue Oberfläche die aussieht wie die alte wäre ja irgendwie sinnfrei. Da finde ich die Änderungen bei nahezu jedem Update störender. Davon hast Du nur noch nichts mitbekommen, da Du auf einer uralt Oberfläche hängst.


    Und dann halt eben sinnvolle Bezeichnungen verwenden.

    Zitat von Leitner

    Danke für eure Antworten.

    Kann es sein, dass es den Filter erst seid Network 8 gibt?
    Bin noch auf Stand 7.4. Und da zumindest sehe ich keine Filtermöglichkeit.

    Ich bin schon lange auf 8.x.x. Ich kann dich beruhigen, es gibt immer noch die alte Oberfläche. Ich nutze sie auch noch. Allerdings nur für die Informationen / Anzeigen. Die sind in vielen Bereichen immer noch deutlich informativer.

    ich fands bei der alten oberfläche super, dass man sich das dashboard selbst zusammenstellen konnte.


    das wäre schon irgendwie wieder cool zu haben wenn ich so drüber nachdenke…

    Netzwerk:
    1x UDM Pro | 1x Cloud Gateway Ultra (Backup-Router) | 2x U6-Pro | 2x UAP-AC Pro | 1x UAP-AC-M | USW-Pro 48 POE | 1x US-24 (Backup-Switch) | (2x USW-Flex Mini) | 1x USW Lite 8

    Video:

    1x G3 Flex | 1x G3 Instant | 3x G5 Bullet | 2x G5 Flex | 1x G5 Turret Ultra | 1x UFP Viewport

    USV: Eaton Ellipse Eco 800 USB

    Main-Hardware: Windows Gaming PC | Mac Mini mit M1 | alter PC mit unRAID zum Spielen | DS1621+ Haupt-NAS | DS918+ Backup-NAS | Playstation 5 | iPad Pro 2020

    Smarthome: KNX | Homekit | Homebridge | Sonos | 12,6kWp Photovoltaik

    Zitat von franzbertbua

    ich fands bei der alten oberfläche super, dass man sich das dashboard selbst zusammenstellen konnte.

    das wäre schon irgendwie wieder cool zu haben wenn ich so drüber nachdenke…

    bin ich bei dir, die "neue" Oberfläche war mir von Anfang an zuwider.


    Das beste Beispiel dafür, das Neu nicht immer Besser ist.


    Oder wie ich immer sagen: "Softwareentwickler sollte die ersten 3 Monate selber mit ihrer Software arbeiten müssen, bevor die auf Kunden losgelassen wird"


    Aber zur Ursprungsfrage:

    - ein Plan

    - eindeutige Benamung


    sind die wichtigsten Punkte, um den Überblick zu behalten.