Firewall-Regeln erstellen, um unsere Subnetze gegeneinander abzusichern.
Warum wollen wir das?
Gäste in unserem Gast-Subnetz, USER aus anderen Subnetzen und/oder Geräte aus unserem IoT-Subnetz sollen nicht unberechtigte Zugriffe auf z.B. unser Admin-LAN oder auf Geräte in unserem NETZWERK erhalten. Die Kommunikation über Subnetz-Grenzen soll grundsätzlich verhindert, Ausnahmen jedoch ermöglicht werden.
Und wie geht das genau?
Im zugrundeliegenden Beispiel besteht unser Netzwerk aus drei Subnetzen;
LAN 1 (10.10.1.0/24) ist das Admin-LAN
LAN IoT (10.10.2.0/24) ist das LAN für das „Internet der Dinge“
LAN Gäste (10.10.3.0/24) ist das Gäste-LAN
WLAN-Netze besitzen eine Verbindung zu den zugehörigen LAN’s.
Deshalb werden die WLAN’s von den Firewall-Regeln mit erfasst.
Anzahl der Subnetze und die IP-Bereiche sind entsprechend eurer Situation vor Ort anzupassen.
Die hier beschriebenen Einstellungen sind im „Classic Mode“ durchzuführen, und beziehen sich auf die englische Controller-Oberfläche. Die Regeln werden als Rules IPv4 definiert.
LOS GEHT's
Wir beginnen mit einer Firewall-Regel, die Datenpaketen, die zu bereits bestehenden (established) Verbindungen oder Datenpaketen die im Bezug (related) zu einer bestehenden Verbindung stehen, erlaubt die Regelprüfung zu umgehen.
Regel 1 „allow established/related sessions“:
SETTINGS>Routing & Firewall>FIREWALL>LAN IN>CREATE NEW RULE
Name>>>allow established/related sessions
Action>>>Accept
States>>>Established, Related
>>mit Save abspeichern<<
---------------------------------------------------------------
Ohne einschränkende Firewall-Regeln kommunizieren die in unserem Netzwerk angelegten Subnetze untereinander.
USER die sich z.B. im LAN Gäste befinden, können auf die anderen Subnetze zugreifen und die dort eingebuchten Geräte ausfindig machen und im schlechtesten aller Fälle angreifen.
Diese Kommunikation zwischen allen Subnetzen wollen wir unterbinden.
Um uns das Erstellen von Firewall-Regeln zu erleichtern, benutzen wir zusätzlich Gruppen, auf die wir dann unsere Regeln anwenden können.
In der ersten Gruppe definieren wir die möglichen, privaten IP-Bereiche nach dem Standard RFC1918.
Private IP-Bereiche sollen ausnahmslos nach diesem Standard definiert sein:
192.168.0.0/16
172.16.0.0/12
10.0.0.0/8
Grundsätzlich reicht es hier die tatsächlich in unserem Netzwerk benutzten IP-Bereiche der Subnetze in die Gruppe einzutragen.
Um aber für die Zukunft flexibler zu sein, tragen wir vorsorglich alle drei IP-Bereiche ein.
Somit können wir später das Netzwerk um weitere IP-Adress-Bereiche erweitern, ohne diese Firewall-Regel anpassen zu müssen.
Gruppe 1 „all private IP-ranges RFC1918“
SETTINGS>Routing & Firewall>FIREWALL>Groups>CREATE NEW GROUP
Name>>>all private IP-ranges RFC1918
Address>>>192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8
>>mit Save abspeichern<<
---------------------------------------------------------------
Mit der nächsten Regel erlauben wir den Zugriff aus dem Administrator-LAN auf alle anderen Subnetze (VLAN’s).
Regel 2 „allow admin LAN to access all VLANs“
SETTINGS>Routing & Firewall>FIREWALL>LAN IN>CREATE NEW RULE
Name>>>allow admin LAN to access all VLANs
Action>>>Accept
Source Type>>>Network
Network>>>LAN 1 (siehe Beispiel oben, hier ist der Name des Admin-LAN’s anzugeben)
IPv4 Address Group>>>all private IP-ranges RFC1918
>>mit Save abspeichern<<
---------------------------------------------------------------
Die nachfolgende Regel unterbindet die Kommunikation zwischen den Subnetzen (VLAN’S).
Regel 3 „block all communication between VLANs“
SETTINGS>Routing & Firewall>FIREWALL>LAN IN>CREATE NEW RULE
Name>>>block all communication between VLANs
Action>>>Drop
Source Typ>>>Address/Port Group
IPv4 Address Group>>>all private IP-ranges RFC1918
Destination Type>>>Address/Port Group
IPv4 Adress Group>>>all private IP-ranges RFC1918
>>mit Save abspeichern<<
---------------------------------------------------------------
Wir haben mit Regel 3 die Kommunikation der Subnetze untereinander eingeschränkt. Geräte können sich über die Subnetz-Grenzen nicht sehen und auch nicht erreichen.
Die Gateways der Subnetze sind jedoch noch aus den anderen Subnetze erreichbar.
Beispiel: Von einem Gerät im LAN IoT (10.10.2.x) ist das Gateway des LAN 1 -Admin-LAN- (10.10.1.1) erreichbar. Somit auch USG oder UDM.
Das wollen wir im nächsten Schritt unterbinden.
Dazu definieren wir weitere Gruppen.
Gruppe 2 „block IoT to all GW“
SETTINGS>Routing & Firewall>FIREWALL>Groups>CREATE NEW GROUP
Name>>>block IoT to all GW
Address>>>10.10.1.0/24, 10.10.3.0/24
>>mit Save abspeichern<<
---------------------------------------------------------------
Gruppe 3 „block guest to all GW“
SETTINGS>Routing & Firewall>FIREWALL>Groups>CREATE NEW GROUP
Name>>>block guest to all GW
Address>>>10.10.1.0/24, 10.10.2.0/24
>>mit Save abspeichern<<
Wer genau hinsieht, erkennt leicht das Prinzip.
Die Gruppen werden so definiert, dass die jeweils anderen Subnetze eingetragen werden.
---------------------------------------------------------------
Nachdem die Gruppen definiert wurden, folgen jetzt die notwendigen Regeln.
Regel 4 „block IoT to all GW“
SETTINGS>Routing & Firewall>FIREWALL>LAN LOCAL>CREATE NEW RULE
Name>>>block IoT to all GW
Action>>>Drop
Source Typ>>>Network
Network>>>LAN IoT
Destination Type>>>Address/Port Group
IPv4 Address Group>>>block IoT to all GW
>>mit Save abspeichern<<
---------------------------------------------------------------
Regel 5 „block guest to all GW“
SETTINGS>Routing & Firewall>FIREWALL>LAN LOCAL>CREATE NEW RULE
Name>>>block guest to all GW
Action>>>Drop
Source Typ>>>Network
Network>>>LAN Gäste
Destination Type>>>Address/Port Group
IPv4 Address Group>>>block guest to all GW
>>mit Save abspeichern<<
---------------------------------------------------------------
Soweit so gut!
Unser Subnetze sind nun gegeneinander abgesichert.
Das bedeutet jedoch auch, dass ein Gast aus dem LAN Gäste nicht auf den Drucker im LAN IoT (10.10.2.10) zugreifen kann.
Um dies zu ermöglichen, ist eine weitere Regel erforderlich.
Und damit uns die Erweiterung der Zugriffsrechte auf weitere Geräte im LAN IoT leichter fällt, erstellen wir auch eine weitere Gruppe!
Gruppe 4 „allow access to IoT devices“
SETTINGS>Routing & Firewall>FIREWALL>Groups>CREATE NEW GROUP
Name>>>allow access to IoT devices
Address>>>10.10.2.10
>>mit Save abspeichern<<
Sollen später weitere Devices im LAN IoT erreichbar sein, könnt ihr die Gruppe um die IP’s der Geräte erweitern.
Aber bitte beachten, die Geräte müssen eine feste IP zugewiesen bekommen haben.
Nun zur notwendigen Regel.
Regel 6 „allow access to IoT devices“
SETTINGS>Routing & Firewall>FIREWALL>LAN IN>CREATE NEW RULE
Name>>>allow access to IoT devices
Action>>>Accept
Source Typ>>>Network
Network>>>LAN Gäste
Destination Type>>>Address/Port Group
IPv4 Address Group>>>allow access to IoT devices
>>mit Save abspeichern<<
---------------------------------------------------------------
WICHTIGE AKTION!
Die Regel „allow access to IoT devices“ muss nun unbedingt vor die Regel „block all communication between VLANs“ verschoben werden.
Die Regeln werden von oben nach unten abgearbeitet. Also muss die Regel für den Drucker-Zugriff vor der Regel stehen, die alle Kommunikation zwischen den Subnetzen verbietet.
Viel Spaß!
Disclaimer: Alle Anleitungen/Tutorials sind nach bestem Wissen und Gewissen verfasst, gehen immer von den definierten Software/Firmware-Versionen aus und sind auf das englische GUI ausgelegt.
Es gibt keine Garantien auf Erfolg. Im Falle eines Misserfolges hilft aber sicherlich die Community hier immer weiter.
Keiner der Autoren oder der Betreiber des Forums ist für die aus der Nutzung resultierenden Probleme/Herausforderungen verantwortlich.
Jegliche hier beschriebenen Schritte erfolgen ausnahmslos in eigener Verantwortung des Durchführenden. Eltern haften für ihre Kinder.
Kommentare 23
Neu erstellte Kommentare unterliegen der Moderation und werden erst sichtbar, wenn sie durch einen Moderator geprüft und freigeschaltet wurden.
Neu erstellte Kommentare unterliegen der Moderation und werden erst sichtbar, wenn sie durch einen Moderator geprüft und freigeschaltet wurden.
onkel_peter
Hallo an alle und besonders @EJHome für den prima Beitrag.
Bin vor einiger Zeit auch komplett auf UnifI umgestiegen und da war dieser Beitrag zur Firewall sehr hilfreich.
Ich habe mal eine Frage zum "Handling" von eigenen DNS Servern in mehreren VLANs.
Ich habe ein "Default-LAN" ein "IoT-VLAN" ein "Guest-VLAN" und ein "Test-VLAN"
Meine beiden DNS Server sind im "Default-LAN" und sollten auch von den Geräten in den anderen LANs genutzt werden.
Wenn ich die VLANs gegeneinader absichere, ist natürlich kein Zugriff auf die DNS Server mehr möglich.
Frage: Ist es sinnvoll die beiden DNS Server in ein eigenes VLAN zu packen und für die anderen VLANs zu öffnen oder
soll ich einfach nur die beiden IP Adressen aus dem "Default-LAN" für die anderen VLANs freigeben ?
Wie händelt ihr das ?
Danke im Voraus
Gruß Peter
ChillBG
CrossTalk?
anderl1969
Verständnisfrage, weil ich mich in die Firewall-Materie erst einarbeiten muss:
Was genau sollen die Regeln in LAN local bringen?
Ich habe zwar von einem Gerät im IoT-Netz (10.10.2.0/24) aus keinen Zugriff mehr auf 10.10.1.1 oder 10.10.10.3, aber natürlich immer noch auf 10.10.2.1, was ja auch sein muss - ist schließlich das Default-GW für das Subnetz. Aber 10.10.2.1 ist halt auch die UDM, und damit habe ich immer noch Zugriff auf das Web-UI der UDM oder auch ssh Zugriff - von jedem Subnet aus.
Was übersehe ich hier?
knolte
Das würde mich auch interessieren. Ich habe mal zum Versuch (Home Lab Umgebung, also nur zwei Clients an US-8 und UDM SE) das jeweilige VLAN in der Gruppe hinzugefügt.
Damit war dann aus keinem VLAN mehr irgendein Gateway erreichbar (Controlleroberfläche), ausser natürlich aus dem Mgmt / admin / default LAN (192.168.1.0/24).
Wenn ich Geräte in irgenein VLAN gebracht habe, wurden entsprechende IP-Adressen zugewiesen, die anderen Regeln und das Internet funktionierten auch.
Ich weiss allerdings nicht, was das ggf im "scharfen" Betrieb für Folgen haben könnte. Also habe ich es auch nicht in mein Produktiv-Netzwerk übernommen.
Zur Sicherheit hat der Controller ein sehr starkes PW (PW-Safe) und ssh ist deaktiviert. Ssh benötige ich selten und aktiviere es temporär.
Die Antwort auf deine Frage würde mich trotzdem brennend interessieren. Vielleicht kann ein Netzwerk Crack sich hierzu äussern?
Vielen Dank.
darkman242
Prima Anleitung. Habe mir meine Regel geändert bzw dementsprechend angepasst. Funktioniert fast alles wieder.
Nur beim NTP-Server benötige ich Hilfe. Ich habe auf einer UDM-SE den NTP-Server installiert und dies hat bei meinen vorherigen Lan-Out-Regeln auch funktioniert. Jetzt kann ich aber den NTP-Server per Client nicht mehr erreichen. Welche Firewall-Regel benötige ich noch dazu? Ich habe eine Lan-In from Any/Any to IP/Port (192.168.1.1/UDP123) erstellt, aber das reicht anscheinend nicht aus.
Naichbindas
Hallo
OK das ist sehr gut beschrieben, eine Frage trotzdem dazu. Hier geht es ja um IPv4 um IPv6 zu nutzen muss ich da identische Regeln erstellen? Und wenn ja kann man eine Regel dann irgendwie Clonen und die dann dort einfügen?
Ich vermute das bei mir deswegen das IPv6 nicht funktioniert also keine Verbindung bekommt weil keine Regeln unter IPv6 stehen. Mfg
hoppel118
Hi,
super Anleitung! Sehr hilfreich! Ich habe meine Firewall gerade komplett nach deiner Anleitung neu aufgebaut.
Mit den Gruppen hatte ich mich bisher noch gar nicht auseinandergesetzt. Meine erste Regel war bisher eine "allow any to any vlan" Regel. Anschließend wurde diese durch Drop Regeln für die Kommunikation zwischen den VLANs wieder aufgehoben.
Das ist so ja wesentlich komfortabler. Sehr schön!
Es hat alles auf Anhieb geklappt. Bisher hatte ich nur 3 VLANs. Nun sind es aber 7 VLANs. In Kombination mit Radius, 802.1x und MAC Auth ist das hervorragend. Ich habe jetzt nur noch 3 SSIDs. Über die Radius VLAN Zuweisung komme ich aber trotzdem in alle VLANs, auch per WLAN.
Ich habe das übrigens alles komplett mit dem neuen UI gemacht. Das sieht zwar ein Bisschen anders aus, funktioniert aber identisch.
So macht das Spaß.
Danke und Gruß Hoppel
hoppel118
Hallo nochmal,
eine Frage zu deinen „Block GW“ Gruppen habe ich noch. Du schreibst, dass man die Adressen wie folgt in den Gruppen hinterlegen soll:
Damit blockt man doch aber das gesamte Netz und nicht nur die GW IP-Adressen, oder?
Müssten die IP-Adressen in diesen Gruppen nicht wie folgt ergänzt werden, also ohne /24 ?
Warum werden die GW IPs bei „block communication between vlans“ eigentlich nicht direkt mit eingeschlossen?
Versteh mich nicht falsch. Ich will deine Anleitung nicht kritisieren. Bin selbst eher nicht so der Firewallexperte. Aber ich würde das gern verstehen.
Danke und Gruß Hoppel
cosmos
Genau das würde mich auch interessieren. So richtig schlau werde ich da nicht draus...
cosmos
Sorry, habe übersehen, dass diese Regel in LAN Local erstellt wurde. Wenn ich mich nicht täusche, dann geht es hier um alles, was das USG selbst betrifft. Dann passt das schon so.
hoppel118
Ja, LAN_Local… Ist schon klar! Aber dann muss ich doch trotzdem nicht das gesamte Netz blocken.
Keine Ahnung, ob das überhaupt Auswirkungen hat, wenn man das gesamte Netz bei LAN_Local Regeln blockt.
Wie dem auch sei, es funktioniert übrigens auch wenn man statt der Netze nur die Gateway IPs angibt.
Gruß Hoppel
lycra
Kann man den Wiki Eintrag ggf auch erneuert bzw kopieren mit Screenshots auf Basis des neuen Interfaces?
stulpinger
Super-Anleitung
Hat mir sehr viel geholfen, als Unifi-Neuling
Alles klar und verständlich (logisch)
Aber (muss ja sein)
Einige Deiner "Überschriften" sind unlesbar - weder am iMac , PC, Handy, iPad - grelles Gelb
Vielleicht könnte man die Farbe ändern 😎
stulpinger
Auf Dark-Theme umgestellt, dann geht's so halbwegs
usr-adm
Könntest Du vlt. den Titel noch anpassen/ergänzen, z.B. VLANs: Zugriff untereinander verbieten/erlauben
LG
aquebase
Vielen Dank für diesen sehr hilfreichen Beitrag!
Sobald ich eine der zwei Regeln auf der LAN LOCAL Ebene erstelle fliegen alle meine Geräte aus dem Netz und ich komme nicht mehr an die UDM ran. Hat jemand eine Idee was ich falsch gemacht haben könnte?
Mein Setup:
UDM pro --> 24 USW Pro gen2 POE-->3x Inwall HD APs (Die Geräte befinden sich alle im vorkonfigurierten LAN 10.10.0.0/24 auf der UDM)
Meine VLANs 10.10.10-70.0/24 liegen alle auf dem Switch
Habe gemäß der Anleitung nun die VLANs inkl. LAN gruppiert und das IoT VLAN auf der LAN LOCAL Ebene dagegen blockiert was leider dazu führt, dass die UDM nicht mehr erreichbar ist. Ich komme lediglich remote aus dem Internet drauf und sehe, dass keine Geräte mehr verbunden sind.
lycra
Hallo,
wieso muss man bei Ubiquiti eigentlich überhaupt etwas verbieten/unterbinden?
Ich kenne das bspw. von Lancom so, das alles geblockt ist, was nicht explizit freigegeben ist...?!
Elbee
UniFi ist etwas anders. WAN hat ein implizites "Deny", LAN ein implizites "Allow", d.h. du müsste im WAN explizit erlauben und im LAN explizit verbieten.
lycra
OK danke für die Info!
UnSw-Fan
danke für die Info, das habe ich auch nicht gewusst.
Schimi
Hi,
wenn ich IPv6 nutzen möchte... müsste ich das gleiche nochmal "IPv6 Modus" einrichten? Oder sind die Netze "von" sich aus schon gesperrt?
*edit*
Habe es mal versucht anzugehen (weil ich sonst zugriff über die VLANs hinweg habe)... jedoch scheitere ich direkt an dem ersten wo man die Gruppe erstellt... der rest wäre dann tatsächlich "einfach"....
Falls es überhaupt so "einfach" geht wie ich das in meiner Theorie verstehe
Habe ipv6 erstmal deaktiviert....
aujdi
Vielen Dank @EJHome für diese grandiose Anleitung.
Eine Frage dazu:
Gibt es die Möglichkeit, die Zugänge zwischen den Netzwerken auch auf der Basis der MAC-Adressen zu realisieren?
EJHome
Hi!
Ja, die gibt es!
Das ist dann jedoch nicht mehr Basis-Wissen!
Falls Du dort eine spezielle Firewall-Anwendung benötigst, formuliere sie in einem passenden Thread!
Gruß!