Was wollen wir?
Wir möchten weitere Firwallregeln in der "ZBF" einrichten und nutzen.
Warum wollen wir das?
Mal erlich, es bleibt doch nicht nur bei Kleinigkeiten. Dann kommt ein HAS System dazu, ein DNS Server,
Es werden auch schnell mal ein paar Netzwerke und dann noch eins und noch eins.
Wir brauchen verschiedene Zenarien die wir anwenden wollen und das bedarf dann verschiedene Regeln,
um das am laufen zu halten was uns wichtig ist.
Und wie geht das genau?
Diese Regeln bauen auf dem vorrangegangenen auf und erweitern unser Unifi Universum.
Ich werde Stück für Stück weitere Regeln hinzufügen, aber alles der Reihe nach.
ich möchte hier auf die: Firewall-Regeln Zonenbasiert by Naichbindas, anknüpfen und auf dem zuvor geschaffenen Grundlagen weitere Regeln anwenden.
Hier geht es nicht um die Grundregeln sondern was danach kommt für die, die weiter gehen.
Ich kann auch hier nur meine Einstellungen wieder geben, so wie ich sie im Gebrauch habe, und dienen auch nur als Wegweiser.
Ihr müsst dann eure Sachen entsprechend anpassen. 
1 Vorwort:
Kurz gesagt, wir können ja wie wir schon wissen weitere Zonen anlegen. Wenn wir nur ein Netzwerk in einer "Zone" haben, sprechen wir von einer sogenannten Singel-Zone.
Als erstes möchte ich beginnen mit der Regel,
"Admin Geräte haben Zugriff".
Das benötigt drei Schritte um das am laufen zu haben.
Dazu legt Ihr eine Gruppe an, die kann dann entsprechend "Admin Geräte" heissen, und dort hinein kommen die IP Adressen oder Geräte die als Admin Geräte eingeteilt werden sollen.
Als nächstes müssen wir eine Regel für die "Admin Geräte" aus dem Netzwerk in der die Geräte beheimatet sind auf das "Gateway" einrichten, denn nur über das Gateway geht es ja in die anderen Netze und Zonen.
Also dort habe ich zuerst diese Regel angelegt:
"Admin PC darf auf alle VLAN´s"
Damit ist der erste Schritt getan, das Admin Geräte an sich erstmal auf das Default Getaway kommen.
Ab jetzt können wir gezielt einrichten was die Admin Geräte dürfen.
Es bedarf noch einer weiteren Regel. Die habe ich dann: "Admin PC darf ins IoT-LAN" als Beispiel genannt.
Achtung, der Punkt Aktion, auf "Zulassen" und dort den Haken setzen für "Auto Allow Return Traffic" und sich freuen. Damit wird automatisch eine Regel erstellt und an die richtige Position gesetzt, als Gegenstück damit dann die Geräte die im Netzwerk angesprochen werden, auch auf dem gleichen Weg wieder antworten können.
Das sieht dann so aus:
Das macht ihr dann so oft mit der letzten Regel auf alle Zonen und Netzwerke bis eure Admin Geräte alles erreichen können was sie sollen.
Als nächstes möchte ich dann noch einen weiteren Punkt ansprechen. Seit dem wir die "ZBF" haben, können wir auch mit einer "DMZ" arbeiten.
Finde ich sogar sehr gut. Dort kommen alle Geräte rein die aus dem Internet erreichbar sein müssen.
Webserver, Mailserver, Multimedia / Streaming sowas wie Plex oder Emby und Co, sind mal ein paar genannte die da hin gehören. Das können aber auch DNS Server sein.
Dazu ein kleiner Tipp:
Ich würde wer mehrere Sachen zum Internet hin brauch, der sollte sich halt mehrere kleine Netze anlegen.
Das soll als Beispiel dienen.
Und in jedes dieser Netze dann einen Server setzen, nicht alle zusammen in ein Netzwerk.
Diese Netzwerke dann untereinander abschirmen, angefangen von Netzwerkisolierung bis hin zu entsprechenden Firewallregeln.
So das jedes Netz als einzelnes eigenes Netzwerk aggiert.
Das hatt den Hintergrund, das in der "DMZ" die Hürden nicht ganz so hoch gesteckt sind. Wenn es denn mal so passieren sollte, das ein Server in der DMZ gekappert wurde, dann kann nur dieser Server geschädigt werden und dieses kleine Netzwerk. Um auf die anderen Netzwerke in der "DMZ" zu kommen müssen die Angreifer dann zunächst erstmal noch eine Firewall überlisten.
Ganz zu schweigen aus der "DMZ" in eines der anderen Netze oder Zonen zu kommen und wir haben unser Netzwerk ein Stück weit sicherer gemacht.
Diese Regeln richtet ihr dann als "Quelle DMZ " zu "Ziel DMZ" zum Beispiel mit einer Blockade für Inter-VLAN-Routing und so weiter.
Platzhalter:
Ok weitere Regeln werden bald folgen wenn ich soweit bin, mit DNS Server wie Pihole und die Arbeit mit HAS System.
Seht es mir nach das ich das auch erst alles neu einrichten muss und ausgiebig testen will.
Disclaimer: Alle Anleitungen/Tutorials sind nach bestem Wissen und Gewissen verfasst, gehen immer von den definierten Software/Firmware-Versionen aus und sind auf das englische GUI ausgelegt.
Es gibt keine Garantien auf Erfolg. Im Falle eines Misserfolges hilft aber sicherlich die Community hier immer weiter.
Keiner der Autoren oder der Betreiber des Forums ist für die aus der Nutzung resultierenden Probleme/Herausforderungen verantwortlich.
Jegliche hier beschriebenen Schritte erfolgen ausnahmslos in eigener Verantwortung des Durchführenden. Eltern haften für ihre Kinder.