3
Unifi Secure Gateway Firewall Fragen
Hallo,
ich verwende ein aktualisierte Unifi secure Gateway inkl. aktualisierten Controller hinter einen Bridged Modem. Dass heißt, die USG ist direkt aus den WAN erreichbar. Ich habe Portweiterleitungen definiert und diese haben Firewallregeln unter der default Regel in WAN EINGEHEND erzeugt. Das gefällt mir nicht, denn diese Firewallregeln lassen sich nicht bearbeiten oder löschen. Dass Portweiterleitungen Firewallregeln erzeugen kenne ich von anderen Systemen, aber da kann man das aussschalten. Beim USG finde ich diese Funktion nicht.
Die Default Regeln sind mir auch ein Rätsel.
Ich hätte eine klasische DROP ALL Regel am Ende aller ALLOWS erwartet. DROP INVALID STATE kenne ich so nicht. Bearbeiten lassen sich die Regeln aber auch nicht.
Ich habe eine DROP ALL Regel erzeugt. Dann funktioniert aber gar nichts mehr.
Vielen Dank,
mexx
ich verwende ein aktualisierte Unifi secure Gateway inkl. aktualisierten Controller hinter einen Bridged Modem. Dass heißt, die USG ist direkt aus den WAN erreichbar. Ich habe Portweiterleitungen definiert und diese haben Firewallregeln unter der default Regel in WAN EINGEHEND erzeugt. Das gefällt mir nicht, denn diese Firewallregeln lassen sich nicht bearbeiten oder löschen. Dass Portweiterleitungen Firewallregeln erzeugen kenne ich von anderen Systemen, aber da kann man das aussschalten. Beim USG finde ich diese Funktion nicht.
- Kann man das Autoerzeugen von Firewallregeln aus Portweiterleitungen deaktivieren?
Die Default Regeln sind mir auch ein Rätsel.
Ich hätte eine klasische DROP ALL Regel am Ende aller ALLOWS erwartet. DROP INVALID STATE kenne ich so nicht. Bearbeiten lassen sich die Regeln aber auch nicht.
Ich habe eine DROP ALL Regel erzeugt. Dann funktioniert aber gar nichts mehr.
- In welcher Reihenfolge werden die Regeln abgearbeitet? Von oben nach unten oder Regel-Index absteigend?
Vielen Dank,
mexx
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 491502
Url: https://administrator.de/contentid/491502
Ausgedruckt am: 25.11.2024 um 01:11 Uhr
3 Kommentare
Neuester Kommentar
Mit einem richtigen Klick auf "+" kann man das embeddete Bild auch an die richtige Position im Text einbinden 
Ich hätte eine klasische DROP ALL Regel am Ende aller ALLOWS erwartet.
Bekanntlich ist das generell immer Default weltweit bei allen Firewall, Routern mit Access Listen usw. Ist also nicht zwingend.DROP INVALID STATE kenne ich so nicht.
Vermutlich ist damit der SYN State gemeint. Einiger Hersteller haben da eine etwas kranke Nomenklatur. Bei Unify kein Wunder denn das ist eine WLAN Bude. Von Security haben die wenig Ahnung was man am Produkt auch merkt. Das ist keine Eigenentwicklung und nur OEMt mit Unify Bäppel drauf. Keine gute Wahl. Mit einer "richtigen" Firewall ist man da meist besser bedient. Allein schon von der Konfig Syntax her.
THX Aqui, wie ich die automatisch erzeugen Firewallregeln los werde, die aus den Portweiterleitungen entstanden sind, weißt Du nicht?
Zitat von @mexx:
THX Aqui, wie ich die automatisch erzeugen Firewallregeln los werde, die aus den Portweiterleitungen entstanden sind, weißt Du nicht?
Du kannst diese Regeln manuell in den Config-Dateien löschen.THX Aqui, wie ich die automatisch erzeugen Firewallregeln los werde, die aus den Portweiterleitungen entstanden sind, weißt Du nicht?
Das ist aber sinnlos, da diese bei der nächsten Änderung neu erstellt werden.
Versuche "weiter Oben" eine "Gegenregel" zu erstellen.
Das ist ja sowohl Vor- wie auch Nachteile der Unifi.
Es ist eine vereinfachte Oberfläche mit "bestimmten" Einschränkungen.
So ganz das Gegenteil eines Mikrotiks.
Ich mag Unifi weil es übersichtlich und einfach ist und gut funktioniert.
Aber bestimmte Dinge kann man damit gar nicht oder nicht gut.
Dann nutze ich OPNsense auf einer APU.
Stefan
