Daher meine Frage: Wie verwaltet ihr damit "größere" Umgebungen (ich rede nicht von Konzernen, wo UI vermutlich sowieso die falsche Hardware ist)? Findet ihr euch mit dem Interface ab bzw. zurecht? Verwendet ihr Alternativen wie den API Browser? Oder liegts einfach nur an mir?
Ich nutze zwar keine Unifi-Gerät dafür, sondern OPNSense, aber ist dort nicht anders:
Ich geben den FW-Regel eindeutige Beschreibungen, die klar zeigen was die Regel macht und für wen/was, z.b. "ALLOW_PRIVAT.NET_to_SERVER.net_SSH", also kurz ssh ist aus dem PRIVAT-Netz ins SERVER-Netz erlaubt
Dann nutze ich für die Zusammenfassung von IP-Adressen die Alias-Funktion und gebe den ALIASEN eindeutige Namen ( z.b. IP-Local-Proxmox, Ports-Local-Proxmox ) und nutze die Aliase in den FW-Regeln, damit ich keien IP-Adressen in den FW-Regeln pflegen muss, sondern nur zentral in den Aliasen.
Ändert sich eine IP oder kommen neue dazu, brauche ich nur den entsprechenden Alias zu editieren und die Änderung gilt in allen FW-Regel, wo der Alias genutzt wird, z.b. wenn ein weitere Proxmox-Server in mein Netz kommt.
Dann hat die OPNSense einen großen Vorteil, die unterteilt FW-Regeln und mehrere, hierarchische Gruppen:
- Floating ( gilt für alle Netze )
- Gruppen ( eine Gruppen von Interfacen, VLAN etc.)
- Interface ( nur einzelne VLAN oder Interface )
Und das Regelwerk arbeitet auch so, Floating-Regeln gelten vor Gruppen-Regeln gelten vor Interface-Regeln.
Und was wichtig ich: ordentliche Kommunkationsmatrix erstellen z.b. mit Excel und Co.