Firewall-Regeln____old!!!! by EJ

Kommentare 23

  • Hallo an alle und besonders @EJHome für den prima Beitrag.


    Bin vor einiger Zeit auch komplett auf UnifI umgestiegen und da war dieser Beitrag zur Firewall sehr hilfreich.

    Ich habe mal eine Frage zum "Handling" von eigenen DNS Servern in mehreren VLANs.

    Ich habe ein "Default-LAN" ein "IoT-VLAN" ein "Guest-VLAN" und ein "Test-VLAN"

    Meine beiden DNS Server sind im "Default-LAN" und sollten auch von den Geräten in den anderen LANs genutzt werden.
    Wenn ich die VLANs gegeneinader absichere, ist natürlich kein Zugriff auf die DNS Server mehr möglich.

    Frage: Ist es sinnvoll die beiden DNS Server in ein eigenes VLAN zu packen und für die anderen VLANs zu öffnen oder

    soll ich einfach nur die beiden IP Adressen aus dem "Default-LAN" für die anderen VLANs freigeben ?
    Wie händelt ihr das ?


    Danke im Voraus
    Gruß Peter

  • Verständnisfrage, weil ich mich in die Firewall-Materie erst einarbeiten muss:


    Was genau sollen die Regeln in LAN local bringen?

    Ich habe zwar von einem Gerät im IoT-Netz (10.10.2.0/24) aus keinen Zugriff mehr auf 10.10.1.1 oder 10.10.10.3, aber natürlich immer noch auf 10.10.2.1, was ja auch sein muss - ist schließlich das Default-GW für das Subnetz. Aber 10.10.2.1 ist halt auch die UDM, und damit habe ich immer noch Zugriff auf das Web-UI der UDM oder auch ssh Zugriff - von jedem Subnet aus.

    Was übersehe ich hier?

    Gefällt mir 1
    • Das würde mich auch interessieren. Ich habe mal zum Versuch (Home Lab Umgebung, also nur zwei Clients an US-8 und UDM SE) das jeweilige VLAN in der Gruppe hinzugefügt.

      Damit war dann aus keinem VLAN mehr irgendein Gateway erreichbar (Controlleroberfläche), ausser natürlich aus dem Mgmt / admin / default LAN (192.168.1.0/24).

      Wenn ich Geräte in irgenein VLAN gebracht habe, wurden entsprechende IP-Adressen zugewiesen, die anderen Regeln und das Internet funktionierten auch.

      Ich weiss allerdings nicht, was das ggf im "scharfen" Betrieb für Folgen haben könnte. Also habe ich es auch nicht in mein Produktiv-Netzwerk übernommen.

      Zur Sicherheit hat der Controller ein sehr starkes PW (PW-Safe) und ssh ist deaktiviert. Ssh benötige ich selten und aktiviere es temporär.


      Die Antwort auf deine Frage würde mich trotzdem brennend interessieren. Vielleicht kann ein Netzwerk Crack sich hierzu äussern?


      Vielen Dank.

  • Prima Anleitung. Habe mir meine Regel geändert bzw dementsprechend angepasst. Funktioniert fast alles wieder.

    Nur beim NTP-Server benötige ich Hilfe. Ich habe auf einer UDM-SE den NTP-Server installiert und dies hat bei meinen vorherigen Lan-Out-Regeln auch funktioniert. Jetzt kann ich aber den NTP-Server per Client nicht mehr erreichen. Welche Firewall-Regel benötige ich noch dazu? Ich habe eine Lan-In from Any/Any to IP/Port (192.168.1.1/UDP123) erstellt, aber das reicht anscheinend nicht aus.

  • Hallo


    OK das ist sehr gut beschrieben, eine Frage trotzdem dazu. Hier geht es ja um IPv4 um IPv6 zu nutzen muss ich da identische Regeln erstellen? Und wenn ja kann man eine Regel dann irgendwie Clonen und die dann dort einfügen?

    Ich vermute das bei mir deswegen das IPv6 nicht funktioniert also keine Verbindung bekommt weil keine Regeln unter IPv6 stehen. Mfg

    Gefällt mir 1
  • Hi,


    super Anleitung! Sehr hilfreich! Ich habe meine Firewall gerade komplett nach deiner Anleitung neu aufgebaut.


    Mit den Gruppen hatte ich mich bisher noch gar nicht auseinandergesetzt. Meine erste Regel war bisher eine "allow any to any vlan" Regel. Anschließend wurde diese durch Drop Regeln für die Kommunikation zwischen den VLANs wieder aufgehoben.


    Das ist so ja wesentlich komfortabler. Sehr schön! :grinning_squinting_face:


    Es hat alles auf Anhieb geklappt. Bisher hatte ich nur 3 VLANs. Nun sind es aber 7 VLANs. In Kombination mit Radius, 802.1x und MAC Auth ist das hervorragend. Ich habe jetzt nur noch 3 SSIDs. Über die Radius VLAN Zuweisung komme ich aber trotzdem in alle VLANs, auch per WLAN.


    Ich habe das übrigens alles komplett mit dem neuen UI gemacht. Das sieht zwar ein Bisschen anders aus, funktioniert aber identisch.


    So macht das Spaß. :winking_face:


    Danke und Gruß Hoppel

    • Hallo nochmal,


      eine Frage zu deinen „Block GW“ Gruppen habe ich noch. Du schreibst, dass man die Adressen wie folgt in den Gruppen hinterlegen soll:

      Zitat

      Address>>>10.10.1.0/24, 10.10.2.0/24

      Damit blockt man doch aber das gesamte Netz und nicht nur die GW IP-Adressen, oder?


      Müssten die IP-Adressen in diesen Gruppen nicht wie folgt ergänzt werden, also ohne /24 ?

      Zitat

      Address>>>10.10.1.1, 10.10.2.1


      Warum werden die GW IPs bei „block communication between vlans“ eigentlich nicht direkt mit eingeschlossen?


      Versteh mich nicht falsch. Ich will deine Anleitung nicht kritisieren. Bin selbst eher nicht so der Firewallexperte. Aber ich würde das gern verstehen. :winking_face:


      Danke und Gruß Hoppel

    • Genau das würde mich auch interessieren. So richtig schlau werde ich da nicht draus...

      Gefällt mir 1
    • Sorry, habe übersehen, dass diese Regel in LAN Local erstellt wurde. Wenn ich mich nicht täusche, dann geht es hier um alles, was das USG selbst betrifft. Dann passt das schon so.

    • Ja, LAN_Local… Ist schon klar! Aber dann muss ich doch trotzdem nicht das gesamte Netz blocken.


      Keine Ahnung, ob das überhaupt Auswirkungen hat, wenn man das gesamte Netz bei LAN_Local Regeln blockt.


      Wie dem auch sei, es funktioniert übrigens auch wenn man statt der Netze nur die Gateway IPs angibt.


      Gruß Hoppel

  • Kann man den Wiki Eintrag ggf auch erneuert bzw kopieren mit Screenshots auf Basis des neuen Interfaces?

    Gefällt mir 1
  • Super-Anleitung

    Hat mir sehr viel geholfen, als Unifi-Neuling

    Alles klar und verständlich (logisch)

    Aber (muss ja sein)


    Einige Deiner "Überschriften" sind unlesbar - weder am iMac , PC, Handy, iPad - grelles Gelb


    Vielleicht könnte man die Farbe ändern 😎

  • Könntest Du vlt. den Titel noch anpassen/ergänzen, z.B. VLANs: Zugriff untereinander verbieten/erlauben


    LG

  • Vielen Dank für diesen sehr hilfreichen Beitrag!


    Sobald ich eine der zwei Regeln auf der LAN LOCAL Ebene erstelle fliegen alle meine Geräte aus dem Netz und ich komme nicht mehr an die UDM ran. Hat jemand eine Idee was ich falsch gemacht haben könnte?


    Mein Setup:

    UDM pro --> 24 USW Pro gen2 POE-->3x Inwall HD APs (Die Geräte befinden sich alle im vorkonfigurierten LAN 10.10.0.0/24 auf der UDM)


    Meine VLANs 10.10.10-70.0/24 liegen alle auf dem Switch


    Habe gemäß der Anleitung nun die VLANs inkl. LAN gruppiert und das IoT VLAN auf der LAN LOCAL Ebene dagegen blockiert was leider dazu führt, dass die UDM nicht mehr erreichbar ist. Ich komme lediglich remote aus dem Internet drauf und sehe, dass keine Geräte mehr verbunden sind.

  • Hallo,

    wieso muss man bei Ubiquiti eigentlich überhaupt etwas verbieten/unterbinden?
    Ich kenne das bspw. von Lancom so, das alles geblockt ist, was nicht explizit freigegeben ist...?!

  • Hi,


    wenn ich IPv6 nutzen möchte... müsste ich das gleiche nochmal "IPv6 Modus" einrichten? Oder sind die Netze "von" sich aus schon gesperrt?


    *edit*

    Habe es mal versucht anzugehen (weil ich sonst zugriff über die VLANs hinweg habe)... jedoch scheitere ich direkt an dem ersten wo man die Gruppe erstellt... der rest wäre dann tatsächlich "einfach"....
    Falls es überhaupt so "einfach" geht wie ich das in meiner Theorie verstehe :smiling_face:


    Habe ipv6 erstmal deaktiviert....

  • Vielen Dank @EJHome für diese grandiose Anleitung.


    Eine Frage dazu:

    Gibt es die Möglichkeit, die Zugänge zwischen den Netzwerken auch auf der Basis der MAC-Adressen zu realisieren?

    • Hi!


      Ja, die gibt es!

      Das ist dann jedoch nicht mehr Basis-Wissen!


      Falls Du dort eine spezielle Firewall-Anwendung benötigst, formuliere sie in einem passenden Thread!


      Gruß!