Firewall-Regeln erstellen, um unsere Subnetze/Geräte gegeneinander abzusichern.
Warum wollen wir das?
selbsterklärend
Und wie geht das genau?
In meinem Beispiel besteht das Netzwerk aus fünf Subnetzen:
10.0.1.0/24 ist das 00-MGMT-LAN ohne VLAN
10.9.9.0/24 ist das 09-DNS LAN (VLAN 9) mit meinen DNS Servern (optional nur bei lokalen DNS Servern wie PiHole Adguard etc.pp.)
10.0.10.0/24 ist das 10-Home LAN (VLAN 10)
10.0.20.0/24 ist das 20-IoT-LAN (VLAN 20)
10.0.50.0/24 ist das 50-Guest-LAN (VLAN 50)
WLAN-Netze besitzen eine Verbindung zu den zugehörigen LAN’s.
Deshalb werden die WLAN’s von den Firewall-Regeln mit erfasst.
Anzahl der Subnetze und der IP-Bereiche sind entsprechend eurer Situation anzupassen.
Die hier beschriebenen Einstellungen sind auf Wunsch von vielen Usern mit der neuen GUI erstellt worden, und beziehen sich auf die englische Controller-Oberfläche. Die Regeln werden als Rules IPv4 definiert.
Bei Selbsterklärenden IP/Port Groups sind keine Screenshots angehängt!
Es kommt auch immer auf Einzelfälle an, deswegen werde ich das hier ziemlich allgemein halten.... ich habe bei mir 55 Regeln an der Zahl, ob alle bei euch zutreffen, keine Ahnung, deswegen werde ich nur auf die wichtigsten eingehen! Oft beziehen sich die Regeln auch auf gewisse VLANs, deswegen findet ihr in meinen IP/Port Groups auch führende Zahlen. den Aufbau muss jeder für sich selbst bestimmen!!!
Hier werden evtl. auch Regeln auftauchen, die euch gar nicht betreffen! Und ja, ihr werdet euren eigenen Hirnschmalz einfließen lassen müssen, Listen machen und euch einen Kopf drüber machen was zu euch passt oder nicht!
Los geht's!
Wir erstellen erst einmal die benötigten Port Gruppen, damit wir diese später mit den Firewall Regeln verheiraten können:
Settings -> Profiles -> Port and IP Groups (gilt ab jetzt für alle Port/IP Gruppen)
00 | admin devices
IPv4 Address/Subnet
Hier kommen alle IPs eurer Geräte rein, welche ihr zum Administrieren eures Netzwerks benutzt – am besten benutzt ihr hierfür DHCP Reservierungen oder statische IPs
00 | all local Gateways
IPv4 Address/Subnet
Hier hinterlegt ihr alle Gateway Adressen eurer LANs/VLANs
00 | all local IP-Ranges
IPv4 Address/Subnet
Hier hinterlegt ihr alle lokalen IP-Adressen eurer Subnetze – in diesem Beispiel:
10.0.1.0/24
10.9.9.0/24
10.0.10.0/24
10.0.20.0/24
10.0.50.0/24
00 | local Gateways w/o MGMT
IPv4 Address/Subnet
Hier hinterlegt ihr alle Gateway Adressen eurer VLANs außer dem Management-LAN
09 | DNS-LAN to all Gateways
IPv4 Address/Subnet
Hier hinterlegt ihr alle lokalen IP-Adressen eurer Subnetze – außer das DNS VLAN:
10.0.1.0/24
10.0.10.0/24
10.0.20.0/24
10.0.50.0/24
09 | DNS Ports (nur erforderlich bei eigenem lokalen DNS Server)
Port Group
Hier hinterlegt ihr alle DNS Ports
53
443
853
09 | DNS Server
IPv4 Address/Subnet
Hier hinterlegt ihr die IP-Adressen eurer lokalen DNS Server (z.B. PiHole Adguard):
10.9.9.98
10.9.9.99
10 | Home LAN to all Gateways
Hier hinterlegt ihr alle lokalen IP-Adressen eurer Subnetze – außer das Home VLAN:
10.0.1.0/24
10.9.9.0/24
10.0.20.0/24
10.0.50.0/24
10 | iPhones (Sonderregle)
IPv4 Address/Subnet
Hier hinterlegt ihr die IP-Adresse eurer NAS
10 | NAS
IPv4 Address/Subnet
Hier hinterlegt ihr die IP-Adresse eures NAS
10 | NAS User
IPv4 Address/Subnet
Hier hinterlegt ihr die IP-Adressen eurer NAS-User
20 | Homeassistant
IPv4 Address/Subnet
Hier hinterlegt ihr die IP-Adressen eurer Smarthome Zentralen (in meinem Fall Homeassistant)
20 | IoT Devices
IPv4 Address/Subnet
Hier hinterlegt ihr die IP-Adressen eurer IoT Devices (Aktoren Lampen, Bridges etc.pp.)
20 | IoT LAN to all Gateways
Hier hinterlegt ihr alle lokalen IP-Adressen eurer Subnetze – außer das IoT VLAN:
10.0.1.0/24
10.9.9.0/24
10.0.10.0/24
10.0.50.0/24
50 | Guest LAN to All Gateways
Hier hinterlegt ihr alle lokalen IP-Adressen eurer Subnetze – außer das IoT VLAN:
10.0.1.0/24
10.9.9.0/24
10.0.10.0/24
10.0.20.0/24
Jetzt sind wir endlich soweit, dass wir mit dem eigentlichen Firewalling anfangen können.
Ab jetzt gibt es nur noch Screenshots mit einer kurzen Beschreibung der Funktion wie/warum & wieso!
Settings -> Firewall & Security -> Create New Rule -> LAN IN (gilt ab jetzt für alle Rules)
Hiermit sorgen wir dafür, dass unsere Admin Clients/devices auf das MGMT-LAN zugreifen können.
Hiermit sorgen wir dafür, dass unser MGMT-LAN sämtliche VLANs erreicht
Hiermit sorgen wir dafür, dass unsere VLANs auf unseren lokalen DNS Server zugreifen können.
Ich hatte Probleme mit meinem Saugroboter, dafür war eine extra Regel beidseitig nötig
Ich möchte mit meinen iPhones auf sämtlich IoT devices zugreifen... autarkes Web IF von Lampen/Aktoren etc.pp
Der Homeassistant aka Smarthome Zentrale will natürlich auch auf alle IoT Devices zugreifen!
Auf diese Regeln werde ich nicht genauer eingehen, da es selbsterklärend ist!
Hier erlauben wir, welche User auf das NAS zugreifen dürfen
Hier blocken wir sämtliche andere Kommunikation zum NAS
Jetzt wird's spannend! Wir blocken die komplette VLAN Kommunikation gegeneinander
Und es wird noch spannender! Wir blocken die gesamte Gateway Kommunikation in Richtung MGMT-LAN (dafür brauchen wir aber established&related)
Ihr seid jetzt schon wirklich gut abgesichert! aber wir treiben es noch etwas weiter!
Wir werden jetzt noch den Traffic auf lokaler Gateway Ebene (UDM/UDMP/UDR/UXG etc.pp.) beschränken.
Settings -> Firewall & Security -> Create New Rule -> LAN Local (gilt ab jetzt für alle Rules)
Disclaimer:
Alle Anleitungen/Tutorials sind nach bestem Wissen und Gewissen verfasst, gehen immer von den definierten Software/Firmware-Versionen aus und sind auf das englische GUI ausgelegt.
Es gibt keine Garantie auf Erfolg. Im Falle eines Misserfolges hilft aber die Community hier sicherlich weiter.
Keiner der Autoren oder der Betreiber des Forums ist für die aus der Nutzung resultierenden Probleme/Herausforderungen verantwortlich.
Jegliche hier beschriebenen Schritte erfolgen ausnahmslos in eigener Verantwortung des Durchführenden.
Eltern haften für ihre Kinder.
Kommentare 22
Neu erstellte Kommentare unterliegen der Moderation und werden erst sichtbar, wenn sie durch einen Moderator geprüft und freigeschaltet wurden.
Neu erstellte Kommentare unterliegen der Moderation und werden erst sichtbar, wenn sie durch einen Moderator geprüft und freigeschaltet wurden.
Patrick089
Hallo defcon,
danke für die Ausführliche Anleitung. Ich habe eine Frage zu meinem spezifischen Fall, vielleicht kannst du mir weiterhelfen.
Mir persönlich geht es weniger darum meine Netze (ich habe nur ein MGM und ein Gast Netz) gegenseitig abzusichern (beide Netze sind natürlich getrennt), sondern Ports von innen nach außen zu blockieren.
In der folgenden Beschreibung nenne ich nur relevante Felder.
Zunächst mal habe ich Profile erstellt in denen ich Ports definiert habe.
Einstellungen > Profile > IP Gruppen > Neu erstellen
Typ: "Anschluss Gruppe" bleibt
Anschluss: jeweilige Ports der Gruppe hinterlegen
Anschließend habe ich die Regeln erstellt.
Einstellungen > Sicherheit > Traffic und Firewall Regeln > Eintrag erstellen
Typ: Internet out
Aktion: Akzeptieren
Protokoll: Alle
Quelltyp: Anschluss/IP-Gruppe
Adressgruppe: Alle Privaten IPv4 Adressen
Anschluss Gruppe: Zuvor angelegte Portgruppe
Zieltyp: Netzwerk
Netzwerk: LAN
Netzwerktyp: IPv4 Subnetz
Ist das so korrekt?
Zum Schluss habe ich eine Regel mit einer Gruppe definiert die alle Ports enthält mit Any Any Drop.
Somit werden für die davor befindlichen Regeln die Ports freigegeben und zum Schluss alles blockiert.
Zur Transparenz:
Ich habe vor meiner UDM eine Fritzbox als Gateway mit einem Exposed Host.
Vorab vielen Dank :-).
Bundidingo
Hi @defcon
Danke für die ausführliche Anleitung, Ich versuche die umzusetzen, da ich auf meiner USG keine Traffic Rules haben kann. Nun hadere ich gerade damit, dass ich dem Management LAN keine VLAN erteilen kann (also ohne VLAN). Die erhält bei mir immer VLAN 1
Kannst du mir weiterhelfen, wie ich das machen kann? MGMT LAN ohne VLAN?
Danke und LG vom Rheinknie
Flavio
defcon
Das VLAN 1 sollte eigentlich das MGMT LAN sein.
Da solltest du theoretisch gesehen gar keine andere Auswahl haben.
Das sollte so passen.
Slakish
Ich habe die Anleitung mal umgesetzt, großes Dank für diese Anleitung. Allerdings verbinden sich meine VPN Clients (Also die, mit denen man Geräte bzw. VLANs durch Routen kann nicht mehr) Was müsste ich da freigeben?
In den Triggern wird nichts geloggt was darauf schließen würde.
Eckart
@defcon
Moin Moin,
ich habe eine Verständnisfrage zu "Lan In und Lan Local".
Worin unterscheiden sich z.B. die beiden Regeln
Lan In Regel:
Block guest to local Gateways
und
Lan Local Regel:
Block guest to local Gateways
Werden bei "Lan In" zusätzlich die Verbindungen ggf. aus den Internet geblockt
TWIN013
Mir ist eben beim Erstellen der Regel "allow local DNS" aufgefallen, dass unter Destination nicht nur eine IPv4 Adress Group "09 | DNS Server" angegeben wird, sondern auch die Port Group "09 |DNS Ports", was ja auch Sinn macht. Nur gibt mir der Network Controller 7.4.145 keine Möglichkeit diese zu hinterlegen... handelt es sich hierbei evtl. um einen Bug, oder ist jemandem bekannt, wie ich die Port Group einblenden kann? Dankeschön!
Edit: Ich vermute es sollte stattdessen ausreichen die Port Group unter Source auszuwählen, aber bevor ich da herum pfusche...
defcon
Die Port Group hast du auch angelegt? Die musst du ja auch selber erstellen.
TWIN013
Ja, habe ich natürlich vorher gemacht. Aber ich habe keine Möglichkeit eine einzutragen - das Feld gibt es nicht.
Mosconi
Erstmal vielen Dank für diese Masse an Firewall Regeln. Jetzt hoffe ich erstmal nicht, dass mein Thema nicht in die gleiche Richtung wie das von maikki geht.
Im Regelsatz "allow admin devices to MGMT LAN" hast du als Ziel " all local gateways" . Setze ich das so um, komme ich von meinem Rechner, der im admin Profil steht nicht mehr auf das MGMT LAN.
Wenn es hier nur um den Zugriff auf das MGMT LAN geht, wäre damit nicht auch als Ziel das Network "MGMT LAN" ausreichend? Oder habe ich da einen Gedankenfehler?
Grüße und schonmal Danke für die Hilfestellung.
Mosconi
defcon
Das sind bei mir die Geräte, welche wirklich alles dürfen, in alle VLANs, ins MGMT Lan usw. Du kannst natürlich auch nur das MGMT Lan als ziel setzen.
Die Firewallregeln sind auf mein System zugeschnitten und sind dementsprechend halt anzupassen. Das dient nur als Hilfestellung für die Community
Ohne dein System zu kennen und ohne deine Regeln zu kennen kann ich dir da nicht helfen, am besten machst du einen Thread auf.
maikki
Hi defcon
Bei den Regeln wo du die Gateways blockst, hast du ja alle Gatewayadressen drin. Auch diese des eigenen VLAN's.
Zum Beispiel bei der Regel "block Home LAN to local Gateways". Die Geräte sollten doch aber über ihren eigenen Gateway kommunizieren dürfen oder nicht? Also über die 10.0.10.1 . Verstehe ich da was falsch?
Danke für deine Aufklärung.
Gruss mAik
defcon
Das ist auf der Ebene Lan Local, wenn du genau hin siehst und somit traffic der geroutet werden soll/muss. Da aber auf lokaler ebene im VLAN nicht geroutet werden muss ist da alles grün.
maikki
Danke für deine Antwort. Aber nach deinem Screenshot zu urteilen, machst du die Regel einmal bei LanIn und einmal bei LanLocal..
00 | all local Gateways
IPv4 Address/Subnet
Hier hinterlegt ihr alle Gateway Adressen eurer LANs/VLANs
Gruss mAik
Naichbindas
Hallo
Eine Frage, ist das so gewollt oder ein Fehler?
Hier steht folgendes:
50 | Guest LAN to All Gateways
Hier hinterlegt ihr alle lokalen IP-Adressen eurer Subnetze – außer das IoT VLAN:
10.0.1.0/24
10.9.9.0/24
10.0.10.0/24
10.0.20.0/24
Hätte da nicht stehen müssen - außer das Gast VLAN? Ich frage nur wegen Verständnishalber...
und hier:
10 | iPhones (Sonderregle)
IPv4 Address/Subnet
Hier hinterlegt ihr die IP-Adresse eurer NAS
10 | NAS
IPv4 Address/Subnet
Hier hinterlegt ihr die IP-Adresse eures NAS
Ich denke hier müssen dann die IP Adressen rein in der Sonderregel für die Mobilgeräte, in deinem Fall die Iphones ?
Oder bin ich irgendwie auf der falschen Spur ??
mfg
defcon
50 | Guest LAN to All Gateways
Hier hinterlegt ihr alle lokalen IP-Adressen eurer Subnetze – außer das IoT VLAN:
10.0.1.0/24
10.9.9.0/24
10.0.10.0/24
10.0.20.0/24
Ja, das ist leider ein Fehler, wer sich aber mit den Rgelen befasst hat - so wie Du, hat es ja gesehen
10 | iPhones (Sonderregle)
IPv4 Address/Subnet
Hier hinterlegt ihr die IP-Adresse eurer NAS
Ja, auch ein Tippfehler... natürlich müssen die IP Adressen der Mobile Devices rein, welche gewisse Dinge tun sollen.
10 | NAS
IPv4 Address/Subnet
Hier hinterlegt ihr die IP-Adresse eures NAS
Hier muss tatsächlich nur die IP des NAS rein
DaNiggo
Hi defcon,
super Anleitung. Ich bin vor kurzem auf Unifi umgestiegen und plane verschiedene VLANs einzurichten und mal mehr mal weniger voneinander abzuschirmen.
Hier hat sich ein Typo eingeschlichen, oder?
Zusatzfrage: Vergibst du reservierte IPs an die iPhones im Haus, um sie hier adressieren zu können? Statische IPs würde bei den Mobile Devices keine Freude bereiten.
defcon
Ja ein Tippfehler, werde ich später mal anpassen. Und ja es sind keine festen IPs sondern halt nur Reservierungen.
thghh
Hallo,
du hast ein Regel die den Verkehr zwischen den VLANs blockiert.
Warum dann nochmals die GW`s aus diesen VLANs blockieren? Das ist doch doppelt oder?
defcon
LocalApplies to traffic that is destined for the UDM/USG itself.InApplies to traffic that is entering the interface (ingress), destined for other networks.thghh
Danke.
Kannst du bitte noch sagen was mit
"Und es wird noch spannender! Wir blocken die gesamte Gateway Kommunikation in Richtung MGMT-LAN (dafür brauchen wir aber established&related)" gemeint ist.? In der SS sehe ich da keine Besonderheiten zum Thema established&related.
Unter Advanced sind die Felder Match State Established und Related ja nicht aktiv.
skippa78
Ich denk es ist gemeint, dass weiter oben established und related grundsätzlich erlaubt wurden. Dann muss man es ja nicht noch explizit in der jeweiligen Regel erlauben
Blebbens
Muss noch den Überblick bekommen, aber kurze Verständnisfragen, bitte: der HomeAssistant ist dem IoT-VLAN zugeordnet. Warum muss man ihm den Zugang zu IoT-Devices separat nochmals freigeben ?
Dann sind alle IP-Adressen von IoT-Devices anzugeben und Aktoren aufgeführt. Aktoren, die über Bridges (Philips hue) angemeldet sind, erhalten ja keine IPs. Aber das wird wohl nicht gemeint sein, sondern nur die Bridge selbst.
Alle Regeln DNS betreffend, also mit 09 beginnend, wären dann ersatzlos auszulassen, wenn beispielsweise mein Unifi der DNS-Server bleibt (anstatt pi-hole & co), korrekt ?