Frage zum Thema ACL
Hallo,
ich bin etwas unerfahren und baue selber rum hier in meiner Bude!
Ich habe als Netzwerk eine Sophos Firewall (Home Lizenz) und ein Switch Netgear GS418
Ich habe in der Firwall mehrere VLANs angelegt und zwar folgende
VLAN 1 -> PC
VLAN 2-> Drucker
VLAN3 -> WLAN PRIVAT
VLAN4 -> GAST WLAN
VLAN5 -> TEST
VLAN6-> Gaming/Streaming
In der Firewall habe ich definiert, dass das VLAN 1 ins VLAN2 darf und zurück, genauso VLAN 3 in VLAN1 und VLAN2 und zurück!
VLAN 4 nur http/https, pop3, imap, smtp
VLAN 5 -> Angelegt zum naja weiß noch nicht!
VLAN6 > Internet und so
Generell die Frage, muss ich auch auf der Switch (eigentlich Hersteller egal!) auch sogenannte ACLs einrichten, um den Verkehr zu blocken oder wird das über die Firewall abgebildet?
Es tut mir leid für diese Frage, aber ich versuche mich mit eigenen Projekten weiter zu bilden, damit ich besser werde und Learning-by-Doing ist immer gut!
ich bin etwas unerfahren und baue selber rum hier in meiner Bude!
Ich habe als Netzwerk eine Sophos Firewall (Home Lizenz) und ein Switch Netgear GS418
Ich habe in der Firwall mehrere VLANs angelegt und zwar folgende
VLAN 1 -> PC
VLAN 2-> Drucker
VLAN3 -> WLAN PRIVAT
VLAN4 -> GAST WLAN
VLAN5 -> TEST
VLAN6-> Gaming/Streaming
In der Firewall habe ich definiert, dass das VLAN 1 ins VLAN2 darf und zurück, genauso VLAN 3 in VLAN1 und VLAN2 und zurück!
VLAN 4 nur http/https, pop3, imap, smtp
VLAN 5 -> Angelegt zum naja weiß noch nicht!
VLAN6 > Internet und so
Generell die Frage, muss ich auch auf der Switch (eigentlich Hersteller egal!) auch sogenannte ACLs einrichten, um den Verkehr zu blocken oder wird das über die Firewall abgebildet?
Es tut mir leid für diese Frage, aber ich versuche mich mit eigenen Projekten weiter zu bilden, damit ich besser werde und Learning-by-Doing ist immer gut!
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 504533
Url: https://administrator.de/forum/frage-zum-thema-acl-504533.html
Ausgedruckt am: 21.05.2025 um 21:05 Uhr
3 Kommentare
Neuester Kommentar
Auf welcher Büchse läufst denn die UTM?
Also es reicht, wenn VLANs korrekt eingerichtet sind. Das könnte schonmal ein 1. Problem sein. Wenn die Fw nur 2 Ports hat, musst du mit tagged VLANs die Netze drauf abbilden und korrekt einrichten.
Durch die VLANs an sich ist schon ein Trennung erreicht.
Also es reicht, wenn VLANs korrekt eingerichtet sind. Das könnte schonmal ein 1. Problem sein. Wenn die Fw nur 2 Ports hat, musst du mit tagged VLANs die Netze drauf abbilden und korrekt einrichten.
Durch die VLANs an sich ist schon ein Trennung erreicht.
Solange deine NetGear Gurke ein reiner Layer 2 VLAN Switch ist passiert die VLAN Kommunikation ja rein nur über die Firewall.
Das Feature "VLAN" ist eine reine Layer 2 Funktion. Der Switch, sofern rein Layer 2, erzeugt damit dann physisch völlig getrennte Layer 2 Broadcast Domains, sprich also physisch vollkommen getrennte Netzwerke.
Ein Zugriff von einem VLAN ins andere ist auf einem reinen Layer 2 Switch nicht möglich. Logisch, da physisch ja vollkommen getrennt.
Kommunikation kann es also dann nur über einen Router geben. Das Routing übernimmt deine Firewall und da greifen auch die Access Listen, da diese ja meist IP Adress bezogen sind, also Layer 3.
Ein Layer 2 Switch kennt keine IP Adressen oder Netze, er kennt für das Forwarding von Traffic nur Mac Adressen.
So einfach ist das !
Wie immer hat das hiesige VLAN Tutorial für dich ein paar Grundlagen zu dem Thema zum Lesen und Verstehen:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Das Feature "VLAN" ist eine reine Layer 2 Funktion. Der Switch, sofern rein Layer 2, erzeugt damit dann physisch völlig getrennte Layer 2 Broadcast Domains, sprich also physisch vollkommen getrennte Netzwerke.
Ein Zugriff von einem VLAN ins andere ist auf einem reinen Layer 2 Switch nicht möglich. Logisch, da physisch ja vollkommen getrennt.
Kommunikation kann es also dann nur über einen Router geben. Das Routing übernimmt deine Firewall und da greifen auch die Access Listen, da diese ja meist IP Adress bezogen sind, also Layer 3.
Ein Layer 2 Switch kennt keine IP Adressen oder Netze, er kennt für das Forwarding von Traffic nur Mac Adressen.
So einfach ist das !
Wie immer hat das hiesige VLAN Tutorial für dich ein paar Grundlagen zu dem Thema zum Lesen und Verstehen:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Hi ho,
um die Sache etwas zu vereinfachen, würde ich erstmal überlegen, warum Du PC, Drucker und WLAN PRIVAT überhaupt in verschiedene VLANs packen willst. Wenn die Geräte ohnehin alle untereinander kommunizieren können sollen, warum trennst Du sie dann durch ein VLAN voneinander?
Macht in meinen Augen keinen Sinn.
Vorschlag:
VLAN1 = private Nutzung für PC, Drucker und WLAN
VLAN2 = Gäste WLAN
VLAN3 = Gaming/Streaming
weitere VLANs legst Du am besten erst dann an, wenn Du weisst, wofür Du sie brauchst.
Zu Deiner Frage:
Nein, auf dem Switch brauchst Du dann keine ACLs einrichten. Der Switch lässt von einem VLAN ins andere VLAN nichts durch.
Möchtest Du testweise VLANs miteinander verbinden, so empfehle ich das über die Firewall zu machen, denn alles an einer Stelle zu bündeln ist am Anfang übersichtlicher und leichter zu verstehen, als wenn Du gleich auf mehreren Geräten unterschiedliche Regeln definierst.
um die Sache etwas zu vereinfachen, würde ich erstmal überlegen, warum Du PC, Drucker und WLAN PRIVAT überhaupt in verschiedene VLANs packen willst. Wenn die Geräte ohnehin alle untereinander kommunizieren können sollen, warum trennst Du sie dann durch ein VLAN voneinander?
Macht in meinen Augen keinen Sinn.
Vorschlag:
VLAN1 = private Nutzung für PC, Drucker und WLAN
VLAN2 = Gäste WLAN
VLAN3 = Gaming/Streaming
weitere VLANs legst Du am besten erst dann an, wenn Du weisst, wofür Du sie brauchst.
Zu Deiner Frage:
Nein, auf dem Switch brauchst Du dann keine ACLs einrichten. Der Switch lässt von einem VLAN ins andere VLAN nichts durch.
Möchtest Du testweise VLANs miteinander verbinden, so empfehle ich das über die Firewall zu machen, denn alles an einer Stelle zu bündeln ist am Anfang übersichtlicher und leichter zu verstehen, als wenn Du gleich auf mehreren Geräten unterschiedliche Regeln definierst.
