Die Unifi Firewall ergänzen bzw verfeinern oder auch präzisieren.
Warum wollen wir das?
Damit erleichtern wir uns die tägliche Arbeit mit unserem Unifi System.
Abläufe sollen rund laufen und korrekt gesteuert werden.
Kurz gesagt soll in unserer Routine ein wenig professionalität rein kommen.
Wir sparen uns viele einzelne Firewallregeln ein. Das geht jetzt kompakter.
Und wir brauchen nicht mehr mit IP-Gruppen arbeiten.
All das können wir direkt mit ein arbeiten, beim erstellen der Regeln.
Und wie geht das genau?
Mit Traffic-Regeln, wie ich finde ein Fluch und Segen zugleich.
Eigene Regeln mit erstellen mit wenigen Mausklicks.
Hallo
Ich knüpfe hier an folgenden zuvor eingerichteten Firewallregeln an:
Firewall-Regeln by Naichbindas
Wir haben uns schon gefragt wozu diese Traffic-Regeln gedacht und gut sind.
Unifi kündigt seine zuvor genannten "Traffic-Rules" mit folgender Botschaft an,
ich zitiere:
"Verwenden Sie Traffic Rules als Firewall der nächsten Generation,
die über erweiterte Sicherheitsfilterung verfügt,
um bestimmten Datenverkehr zu blockieren,
zuzulassen oder die Geschwindigkeit zu begrenzen."
Ich versuche hier ein wenig Licht ins Dunkel zu bringen und
aufzuzeigen das es doch einen Haken gibt aber auch Vorteile.
Zu den Vorteilen komme ich gleich:
Wir brauchen keine Reihenfolge mehr einhalten, "Zulassen vor Blockieren" entfällt,
Mehrfachauswahl ist möglich, wie "Geräte", "Apps" und "App-Gruppen", oder "Netzwerke".
Das erleichtert uns mehreres in einer Regel zusammen zu fassen und nicht alles einzeln.
Ich brauche keine IP-Gruppen, Port-Gruppen (Profile) mehr anlegen.
Das passiert gleich in der Config dann mit. Nennt sich aber "Anschluss", nicht "Port".
und zu den Nachteilen komme ich später:
Fangen wir mal an:
Viele erinnern sich vlt. noch das mann unter "Firewall", diese Regeln angelegt hatt.
Akzeptieren - Alle - LAN In - erlaube etablierte / verbundene Sitzungen
Drop - Alle - LAN In - alle ungültigen Zustände löschen
Akzeptieren - Alle - LAN In - erlaube dem MGMT-LAN den Zugriff auf alle VLANs
Akzeptieren - Alle - LAN In - erlaube lokales DNS
Drop - Alle - LAN In - blockiere Heim LAN den Zugriff auf MGMT Lan
Drop - Alle - LAN In - blockiere IoT LAN den Zugriff auf MGMT Lan
Drop - Alle - LAN In - blockiere Gast LAN den Zugriff auf MGMT Lan
Drop - Alle - LAN In - blockiert die gesamte Kommunikation zwischen VLANs
und vlt auch diese dann noch:
Drop - Alle - LAN In - blockiere Heim LAN den Zugriff auf IoT Lan
Drop - Alle - LAN In - blockiere Heim LAN den Zugriff auf CAM Lan
Drop - Alle - LAN In - blockiere IOT LAN den Zugriff auf Heim Lan
Drop - Alle - LAN In - blockiere IOT LAN den Zugriff auf CAM Lan
Drop - Alle - LAN In - blockiere Gast LAN den Zugriff auf Heim Lan
Drop - Alle - LAN In - blockiere Gast LAN den Zugriff auf IOT Lan
Wenn dann mehrere Netzwerke und evtl. verschiedene Endgeräte noch ins Spiel kommen,
wie "NAS" und "Pihole", da kommen schnell ein paar Regeln zusammen
und verliert auch schon mal den Überblick.
Jetzt kommen die "Traffic-Regeln" zum Einsatz:
Wir gehen dazu auf Einstellungen, - Sicherheit, - Traffic Regeln.
Dort gehen wir dann auf erstellen und finden eine Eingabemaske vor.
Die sieht folgendermaßen aus:
Unter Aktion haben wir folgende drei Möglichkeiten:
Blockieren :
Wie der Name schon sagt, hier blockieren oder verbieten wir etwas,
Zulassen :
Hier gestatten oder besser gesagt erlauben wir etwas,
Geschwindigkeit :
Hier können wir etwas an der Geschwindigkeit bzw. Bandbreite drehen im Down und Upload.
Bei der Kategorie können wir dan folgendes auswählen:
App :
Hier kann dann einzelne oder mehrere Apps aus einer Liste auswählt und
mit den zuvor genannten "Actionen" verknüpft werden.
App Gruppe :
Hier kann ich gleich ganze Gruppen von Apps auswählen die zu einem Thema gehören.
(Sozial Media, Online Spiele und so weiter)
Domain-Name :
Damit sind Domain Namen gemeint, aus denen also eine Web-URL besteht.
(z. Bsp. rtl.de, google.de)
IP Adressen :
Dort trage ich dann IP Adressen ein aus dem lokalem Netzwerk um dann wie
bei den Aktionen eingestellt, zu verfahren.
Region :
Um Ländergrenzen einzustellen wohin ich Zugrifff haben darf oder nicht,
sowie was umgekehrt auch wieder rein kommt oder geblockt wird.
Internet :
Hier kann ich regeln, wie mit dem Internet verfahren werden soll.
Sperre ich ein LAN oder ein Gerät aus dem Internet aus? Hier geht das.
Lokales Netzwerk :
Auch hier gibt es nette Spielereien seine Netzwerke / Vlans zu beregeln,
dort habe ich dann noch drei weitere Unterkategorien.
- "Traffic zu und von allen lokalen Netzwerken"
- "Traffic von allen lokalen Netzwerken"
- "Traffic zu allen lokalen Netzwerken"
Zur letzteren gehe ich zuerst näher drauf ein.
Um nicht diese ganzen Firewallregeln so aufwändig zu gestalten,
ist hier in "Traffic-Regeln" der Punkt "Lokales Netzwerk" ein guter Helfer.
Achtung: Hier bitte keinen, (oder noch nicht), DNS Server eintragen unter Netzwerke.
Da sollten die DNS Server von Unifi drinnen sein.
Sonst geht erst mal nur das Internet nicht mehr, weil dann euer DNS-Server nicht mehr erreichbar ist.
Das ist aber nur dann der Fall, wenn Ihr schon einen DNS Server im Netzerk habt,
und meine Einstellungen nachvollzieht !!!
(Der Grund wird weiter unten beim Eintragen eines DNS-Server´s erläutert)
Oben nehmen wir blockieren, weil wir die Netze abschotten wollen.
Hier wähle ich dann unter "lokales Netzwerk" - Heimnetz aus,
unter "Traffic Richtung" gehe ich auf - Traffic zu und von allen lokalen Netzwerken,
dann unter "Gerät / Netzwerk" wählen wir - alle Geräte aus,
"Zeitplan" steht auf - Immer und zum Schluss geben wir dem Kind noch einen Namen
unter dem Punkt "Beschreibung" - blockiere Heim LAN zu alle anderen Netze.
Dann noch Regel hinzufügen also speichern.
Hier ein Beispiel wie es bei euch aussehen könnte:
Genauso macht ihr das dann mit euren weiteren Netzwerken.
Ihr wiederholt einfach die zuvor genannten Schritte, müsst dann nur
anstatt "Heimnetzwerk", das "IOT", und "GAST" und so weiter auswählen.
Kommt drauf an wie viele Netzwerke ihr habt.
Der Vorteil hierbei ist das ich mit einer Regel gleich sagen könnt, das wie im meinem Beispiel
das "Heimnetz" nur mit sich selber reden darf und nicht mit anderen Netzen inklusive dem MGMT LAN.
Somit muss ich nicht jede einzelne Regel in der Firewall erstellen, so wie am Anfang erwähnt.
Im nächsten Schritt erfahren wir wie Geräten, der Zugriff auf andere erlaubt werden darf:
Zuerst nehmen wir diesmal "Zulassen",
Ich wähle in diesem Falle die Kategorie "IP Adresse" aus,
bei IP Adresse, trage ich das Objeckt der Begierde - die IP ein im meinem Fall,
nehme ich mal einen "AV Receiver".
Unter "Gerät / Netzwerk" suche ich mir ein Gerät aus wer der Glückliche sein darf, bei mir mal der PC.
"Zeitplan" steht auch hier wieder auf - immer.
Und als "Beschreibung" kommt dann rein was ich da angestellt habe.
So würde das dann aussehen:
Speichern nicht vergessen und dann sollte der Zugriff auf das Gerät möglich sein.
Hier kann man nach belieben verfahren, blockieren, erlauben oder beschränken.
So könnt Ihr mit dem Rest auch verfügen, mit "App", "App-Gruppe", "Domain-Name", "Region" und "Internet"
Hier kommt dann allerdings der zuvor besagte "Haken"
Die letzteren funktionieren leider nur mit "UNIFI DNS".
Wer einen "Pihole oder Adgard und Co" benutzt wird mit diesen Regeln leider nix erreichen.
Lokales Netzwerk und IP Adresse funktionieren aber.
Machen wir mit einem Eintrag aus "IP-Adresse" und "Port" weiter:
Hierzu gehen wir wieder auf "Eintrag erstellen", auf "Zulassen" klicken,
wählen unter "Kategorie" den Reiter "IP-Adresse" aus,
trage die IP Adresse des Pihole ein, und unter Anschluß kommt der "Port 53" rein.
Mit dieser Einstellung kann ich gewährleisten das die Clients mit "DNS" arbeiten können,
aber nicht auf die Weboberfläche meines "DNS Server´s" wie "Pihole, Adguard" dürfen.
Bei Gerät / Netzwerk nehmen wir dann alle Geräte oder nur einzelne Netzwerke oder
einzelne bzw. mehrere Geräte, das könnt Ihr euch aussuchen.
Beim "Zeitplan" - Immer einstellen.
Beschreibung zum Beispiel "erlaube DNS Verkehr für alle Netzwerke"
Speichern fertig.
Das müsste dann so aussehen, wie hier im Beispiel.
Wenn Ihr aber auch wollt das ein "Admin-PC" auf die Weboberfläche darf,
Dann erstellt noch eine weitere Regel die fast mit der voran gegangenen
identisch ist. Last nur den Port unter "Anschluss" weg.
Bei Gerät / Netzwerk nur den Admin-PC auswählen und Beschreibung einfügen.
Nur noch speichern und der PC darf als Admin Gerät dann auch auf die Weboberfläche.
Erst dann in den Netzwerken unter "DNS" die IP Adresse eintragen.
Sonst haben die Netze vorher kein Internet mehr, wenn man die DNS Server vorher drinn hatt,
und aber schon meine hier beschrieben "Traffic-Regeln" umgesetzt hatt.
So viel Spaß damit, ich hoffe das hilft ein wenig weiter.
Disclaimer: Alle Anleitungen/Tutorials sind nach bestem Wissen und Gewissen verfasst, gehen immer von den definierten Software/Firmware-Versionen aus und sind auf das englische GUI ausgelegt.
Es gibt keine Garantien auf Erfolg. Im Falle eines Misserfolges hilft aber sicherlich die Community hier immer weiter.
Keiner der Autoren oder der Betreiber des Forums ist für die aus der Nutzung resultierenden Probleme/Herausforderungen verantwortlich.
Jegliche hier beschriebenen Schritte erfolgen ausnahmslos in eigener Verantwortung des Durchführenden. Eltern haften für ihre Kinder.
Kommentare 17
Neu erstellte Kommentare unterliegen der Moderation und werden erst sichtbar, wenn sie durch einen Moderator geprüft und freigeschaltet wurden.
Neu erstellte Kommentare unterliegen der Moderation und werden erst sichtbar, wenn sie durch einen Moderator geprüft und freigeschaltet wurden.
ZAG
Hallo und danke für die zwei ausführlichen Anleitungen.
Ich selbst nutze aktuell nur den Controller, zwei APs und einen Switch.
Habe es aber jetzt geschafft einen Cloud Gateway Ultra (aktuell wieder bestellbar) zu ergattern und will von meiner Fitzbox endlich umsteigen (Nutze deren Wifi und Modem eh nicht mehr).
Ich denke ich habe alles soweit verstanden (wird sich zeigen).
Was mir beim ersten und zweiten Lesen beider Anleitungen aber nicht klar ist:
Du sperrst bei den FW Regeln bereits alle Netze gegeneinander ab.
Warum machst du es hier nochmal bevor du dann die einzelnen Wege frei gibst?
Danke und Gruß
ZAG
Naichbindas
Moin, dieser Wiki Eintrag stammt noch aus der Zeit wo die Traffic regeln ziemlich frisch waren.
Ausserdem kannst du sehr wohl beides nutzen aber auch das eine oder das andere.
Also Firewall oder Traffic Regeln. Daher ist das mit drinn.
Ich habe dazu auch schon Videos im Youtube gesehen da wurde nur die Traffic Regeln eingesetzt.
Ich glaube das war ein Video von Apfelcast oder so.
Und weil Unifi die Traffic Regeln als Firewall der nächsten Generation angepriesen wurde.
Aber ich will nicht zu weit abschweifen. Diese beiden Wiki Einträge sollten ja auch nur ein mögliches Szenario abbilden.
Entweder aus einer Mischung von Firewall und Traffic Regeln, sowohl als auch jeweils einzeln.
Da sollte sich dann jeder für seine Zwecke das beste dazu raus suchen.
Auch im Netz gibt es Anleitungen dazu wie man spezielle Regeln einrichtet in Traffic Regeln um Netzwerke ab zu schotten.
Ich weiss aber auch das im Forum hier weiterhin viele immer noch drauf schwören, besser vieles in der Firewall zu regeln als bei den Traffic Regeln. Andere wiederum bleiben dabei IP und Port Geschichten in der Firewall zu regeln und den Rest dann in den Trafic Regeln. Das wurde auch spätestens sehr offentsichtlich klar als das Update raus kahm, entweder war es Unifi OS oder eine der Networkversionen, ich glaube aber da war es dann auch drinn, das dann Firewall und Traffic Regeln zusammen als Sicherheitsfeature zusammengelegt wurden, und heissen jetzt Eindach und Erweitert.
Auch das auffinden der Regeln ist jetzt am anderem Ort und Aussehen hatt sich etwas verändert. Hatte leider noch keine Zeit das ins Wiki auf zu nehmen. Um das ganze ab zu schliessen. Habe ich leider keine Allerweltslösung parrat. Aber der Ansatz ist da.
ZAG
Danke für die ausführliche Antwort.
Also liege ich nicht ganz falsch, dass dies "doppelt gemoppelt" ist und ich unter Traffic eigentlich nur noch die Freigaben regeln müsste, wenn ich es zuvor so abgeschottet hääte wie du. Ich bin eher kein Freund von doppelten Festlegungen. Irgendwann ändert man mal was an Stelle x und wundert sich, dass es nicht geht, weil an Stelle y es nochmals geregelt wurde.
Dein Artikel ist von Dez. 2023. Das fande ich jetzt gar nicht so alt.
Hat sich da schon wieder so viel geändert?
Gruß
Naichbindas
Ja wenn du beides so ein zu ein umsetzt dann hast du es doppelt. Ansonsten gildet der Weg auch alleine als erfolgversprechende Regel. Hatte ja auch gerade im Wiki Artikel nach gelesen, das ich dort geschrieben hatte, das mann es der Übersichthalber und der einachheithalber mit Traffic Regeln lösen kann, also doch nicht ganz doppelt, lach.
Ja ein wenig hatt sich da schon geändert. Traffic und Firwallregeln sind jetzt zusammen gewandert. war vorher alles einzeln an verschiedenen Orten zu finden. Sind also jetzt zusamen im einem und Traffic Regeln heissen dort drinnen "EINFACH" und die Firewall Regeln heissen dort jetzt "ERWETERT".
Ein paar Beschreibungen sind umbenannt worden und die Maske sieht etwas anders aus. Also ja ich denke hatt sich schon was verändert. mfg
Bundidingo
@Naichbindas das hast du in der vorherigen Beschreibung nicht abgedeckt. Bin ein totaler Newbie, könntest du dazu noch ein Screenshot machen?
Danke dir
LG Flavio
Naichbindas
Moin,
Zitat: "Jetzt sehe ich hier, dass du "Akzeptieren - Alle - LAN In - erlaube lokales DNS" könntest du dazu noch ein Screenshot machen?"
Diese Regel die du wahrscheinlich meinst gehört in den Bereich Firewall. Dort habe ich keine Regel erstellt gehabt kann ich aber ddort gerne nach holen, obwohl ich aber auch sagen muss das bei den beiden anderen Kollegen die Ihre Firewall gepostet und erklärt haben dort auch der selbe Weg drinn steht. Ich hatte da nur drauf verzichtet um ein Grungerüst auf zu zeigen wie mann eine Firewall erstmal einrichtet ohne den anderen Schnickschnack für die weiter versierten Nutzer.
Hier in den Traffic Regeln habe ich dieses Beispiel aus gutem Grund mit rein genommen.
Weil diese Verkehrsregeln hier nur rein für die LAN Schnittstellen funktionieren und man diese nur nutzen kann um den Datenverkehr von ind zu LAN Geräten zu regeln.
Hier musste es nur deswegen als Beispiel mit rein, wenn ich die Traffic Regeln wie zuvor von mir beschrieben, die Netzwerke untereinander abgeschottet haben. Es war dazu gedacht um zu zeigen wie mann eine IP Adresse mit einem Port einträgt das es funktionieren kann, aber bedenke nur als Anwendung nicht zum Blocken eines Gateways.
Und zweitens wie schon gesagt, wenn wir wie hier die Netzwerke abschotten dann würde auch ein DNS Server nicht mehr funktionieren. Und für die die einen DNS Server im Netz haben, würden den dann aussperren.
Daher das zusäztliche Beispiel.
Um das ganze kurz zu machen, wen du einen DNS Server wie Pihole betreibst, dann erstelle zuerst eine Firewall Regel, die lokales DNS erlaubt, mit Portregeln, wenn das funktioniert und du dann diese Regeln hier verwendest um deine Netzwerke ab zu schotten, dann muss ebendfalls wieder eine Regel im Traffic Regeln eingestellt werden die das ganze auf LAN Ebene regelt. Also wieder gestattet. Diesen Weg habe ich aufgezeigt und füge gleich noch einen Screenshot hinzu.
Ich weiss das ist doppelt aber leider lässt einem Unifi dazu im Moment keine Wahl.
Unifi hatt das ganze aber weiter geleitet und vlt setzen sie das noch um. Habe gerade eine Mail dazu erhalten.
Ach nochwas ich habe meinen NS Server im einem eigenen VLAN. Wen du weitere Hilfe brauchst dann wäre ein paar Inffos erforderlich wie deine Infrastrucktur aufgebaut ist.
mfg
Bundidingo
Danke dir.
Wären das die korrekten einstellungen für Anschluss Gruppe DNS:
90 | DNS Ports
Port Group
53
443
853
Und für Port Gruppe DNS:
90 | DNS Server
IPv4 Address/Subnet
192.168.9.9
Naichbindas
Als DNS Server kommt die IP Adresse deines Pihole, Adgard oder wie auch immer rein richtig.
Bei den Port´s reicht der Port 53 völlig aus, es sei denn du hast andere Ports irgendwie eingerichtet...
PS: Das mit der 90 in der Bezeichnung ist hier bei mir von relevanz, du müsstest dann das für deine Zwecke nur anpassen.
fuxalex
Hallo,
ich habe auch eine Frage zu dem Thema oder ggf ein Bug in meinem System.
Ich schaffe es nicht mein VLAN/Netzwerk "axistest" von den anderen Netzwerken zu blockieren. Die Regeln auf der UDM SE (Netzwerk 8.0.26) einzustellen, ist oberflächlich kein Problem.
Allerdings klappt es nicht, wenn ich Kategorie Lokales Netzwerk auswähle und dort axistest, sowie Gerät/Netzwerk: Alle Geräte. Einzig wenn ich eine IP Adresse oder einen Bereich eintrage, klappt die Blockierung der Netzwerke.
Gruß Alexander
Naichbindas
Hallo
Auch hier eine Frage nutzt du ein eigens DNS und nicht das von Unifi?
Die Regeln die ich hier gemacht habe und aufgezeigt habe basieren auf dem Zusammenspiel der zuvor eingestellten Firewallregeln. Die haben soweit mir bekannt eine höhere Priorität.
Aber generell sollte auch mit Traffic Regeln ein blockieren der Netzwerke untereinander möglich sein.
Hast du nochmal deine Einstellungen geprüft, bzw. mal neugestartet?
Damit ein neues Lease gezogen wird und nicht eine schon vorhanden verbindung noch weiter genutzt wird und deine Sperre erst später zum Zuge kommt?
mfg
Rockhound53
Hallo,
kurze Frage dazu, ich würde gerne meinen beiden Fire HD das internet sperren, damit die nicht mit Amazon etc. kommunizieren. Habe jedoch bei meinem Home Assistant über Fully Kiosk ein Wetterwidget, was über SSL/TLS sich aktualisiert.
Wenn ich jetzt Internet Sperre und eine allow Regel für SSL/TLS mache, aktualisiert sich das Widget trotzdem nicht. Auch nicht, wenn die allow Regel vor der block Regel steht.
Eine Idee warum?
Viele Grüße
Naichbindas
Hallo
Ich kenne leider deinen Auffbau nicht, daher erstmal eine Vermutung.
Bei mir habe ich diee Erfahrung gemacht, wenn ich solche Sachen eingestellt habe,
das ich dann alles mal neu gestartet habe, auch die Switche, so das dann auch wirklich die Einstellungen umgesetzt werden.
Zweitens wie hast du denn genau das Internet gesperrt für deine Fire TV Sticks.
Hast du nur die entsprechenden Ports gesperrt, oder benutzt du ein DNS Server oder Filter wie Pihole dafür? Oder für das gnaze Netzwerk eine Sperre wo deine Stick´s zu Hause sind.
Leider haben wir da dazu wenige Info´s um dazu was zu sagen zu können.
Aber ich kann dich da verstehen und glaube zu wissen was du da vorhast.
In deinem Fall würde ich dir dazu raten eine Internetsperre für die Fire TV Sticks über die Traffic-Regeeln zu setzen, das ist einfacher zu realisieren.
Wenn ich dich richtig zitiere:
"Wenn ich jetzt Internet Sperre und eine allow Regel für SSL/TLS mache, aktualisiert sich das Widget trotzdem nicht. Auch nicht, wenn die allow Regel vor der block Regel steht."
Dann meinst du eigentlich damit die Firewall Regeln und nicht wie hier beschrieben die Traffic-Regeln.
Denn da gibt es keinen erlauben vor blocken Regel.
mfg
Rockhound53
Hi,
Also habe eine UDM Pro und 16 Port unifi Switch.
Ich habe schon bei den Traffic Rules Block Internet eingestellt und dann eine allow für SSL/TLS.
Ich merke ja auch sofort die Auswirkung, wenn ich nach und nach die einzelnen Apps blocke, die ich im Traffic bei den Tablets sehe, sobald ich SSL/TLS blocke, geht das Widget nicht mehr...
Ich habe Mal ein YouTube Video gesehen, da meinte jemand, das wenn man die allow regeln vor den block regeln machty das es dann gehen würde, dem ist aber, zumindest bei mir, nicht so...
Naichbindas
Ich muss nochmal betonen, das Traffic-Regeln keine eigene Firewall sind sondern als Kombination als solche anzusehen ist. Und das es nur bei Firewallregeln möglich ist, "Allow" vor "Block" zu setzen.
Hier geht es um Traffic-Regeln und da ist eine solche Reihenfolge nicht vorgesehen.
Wenn du was regeln willst für SSL, dann wirst du das besser über die Firewall machen oder realisieren, in Kombination mit Port´s oder Portgruppen, da kannst du das gezielter regeln. Dort dann auch erlauben vor die blokieren Regeln setzen. Hier in den Traffic-Regeln hatte ich im Forum schon geschrieben, geht das nicht so auf diesem Weg umzusetzen auch aus dem Grund weil Unifi DNS erforderlich ist und wenn Internet gesperrt wird für ein Netzwerk dann kann eine weitere Regel das hier nicht wieder aufheben. Dazu hatte ich aber auch geschrieben das man lieber einzelne Geräte aus sperren sollte, und ja es ist ein wenig Arbeit, auch wenn später weitere Endgeräte dazukommen. Aber Unifi Netzwerke sind halt pflegebedürftig.
Rockhound53
Okay alles klar, habs jetzt verstanden...
Ich wollte es mir halt einfach machen...
TWIN013
@Naichbindas Stehen die Traffic-Rules denn über oder unter den Firewall-Regeln? Hintergrund: ich würde gerne meinem PC (Home VLAN) einen Zugriff auf das UDM-Interface (MGMT-LAN) ermöglichen, allen anderen Geräten aus dem VLAN aber natürlich nicht. Trage ich entsprechende "Allow-Regel" in den Traffic-Rules ein, bringt das jedoch leider nichts...
Naichbindas
Hallo
Leider "nein". Im moment meines Wissenstandes nach stehen die Firewallregeln vor dem Trafficregeln.
Du kannst zwar Geräte mit einander reden lassen von einem VLAN zu einem anderen VLAN, aber leider nicht zum MGMT LAN.
Das habe ich so auch noch nicht zum laufen gebracht.
Zumindestens solange nicht, wie du beides verwendest.
Den Zugriff auf MGMT LAN regelst du dann am besten weiterhin über die reguläre Firewall.
ich war noch nicht mutig genug es mal nur mit Traffic-Regeln zu versuchen.
Laut Unifi soll es die Firewall der nächsten Generation werden.
Das heist für mich wohl das diese mal irgendwann die alten Firewallregeln ablösen werden oder sollen.
Ich werde die Tage mal ein wenig mit den Traffic-Regeln experiementieren.
Nach wievor bin ich aber noch nicht ganz von überzeugt diese als Stand Alone zu benutzen eher als zusätzliche Feature´s.
Der Vorteil ist halt mit wenigen Klicks mehr erreichen, der Nachteil ist für mich aber der gravierende Grund, das es nur in Verbindung mit dem DNS von Unifi gehen soll.
Aber die Grundregeln sollten soweit auch gut funktionieren, entweder mit Firewallregeln wie vorher und sowohl als auch mit den Traffic-Regeln.
Da ich hier leider nur ein Produktives Netzwerk im Einsatz habe wollte ich noch nicht so sehr rumexperimentieren. Aber sobald ich es besser weiss werde ich auf jedenfall dazu berichten.
Vlt. steigst du durch diese Aussage etwas mehr da durch:
Häufig gestellte Fragen, bei Unifi-
1. Wie unterscheiden sich Verkehrsregeln von Firewall-Regeln?
Firewall-Regeln werden in der Regel verwendet, um bestimmte Ports und IP-Adressen zu entsprechen.
Traffic Rules kann in Kategorien wie App oder Domain übereinstimmen und Sie können den Verkehr auf intuitive und optimierte Weise filtern.
mfg