mexx
Goto Top

Unifi Secure Gateway Firewall Fragen

Hallo,

ich verwende ein aktualisierte Unifi secure Gateway inkl. aktualisierten Controller hinter einen Bridged Modem. Dass heißt, die USG ist direkt aus den WAN erreichbar. Ich habe Portweiterleitungen definiert und diese haben Firewallregeln unter der default Regel in WAN EINGEHEND erzeugt. Das gefällt mir nicht, denn diese Firewallregeln lassen sich nicht bearbeiten oder löschen. Dass Portweiterleitungen Firewallregeln erzeugen kenne ich von anderen Systemen, aber da kann man das aussschalten. Beim USG finde ich diese Funktion nicht.

  • Kann man das Autoerzeugen von Firewallregeln aus Portweiterleitungen deaktivieren?

Die Default Regeln sind mir auch ein Rätsel.

unbenannt

Ich hätte eine klasische DROP ALL Regel am Ende aller ALLOWS erwartet. DROP INVALID STATE kenne ich so nicht. Bearbeiten lassen sich die Regeln aber auch nicht.

Ich habe eine DROP ALL Regel erzeugt. Dann funktioniert aber gar nichts mehr.

  • In welcher Reihenfolge werden die Regeln abgearbeitet? Von oben nach unten oder Regel-Index absteigend?

Vielen Dank,
mexx

Content-ID: 491502

Url: https://administrator.de/forum/unifi-secure-gateway-firewall-fragen-491502.html

Ausgedruckt am: 26.12.2024 um 01:12 Uhr

aqui
aqui 04.09.2019 aktualisiert um 09:17:37 Uhr
Goto Top
Mit einem richtigen Klick auf "+" kann man das embeddete Bild auch an die richtige Position im Text einbinden face-wink
Ich hätte eine klasische DROP ALL Regel am Ende aller ALLOWS erwartet.
Bekanntlich ist das generell immer Default weltweit bei allen Firewall, Routern mit Access Listen usw. Ist also nicht zwingend.
DROP INVALID STATE kenne ich so nicht.
Vermutlich ist damit der SYN State gemeint. Einiger Hersteller haben da eine etwas kranke Nomenklatur. Bei Unify kein Wunder denn das ist eine WLAN Bude. Von Security haben die wenig Ahnung was man am Produkt auch merkt. Das ist keine Eigenentwicklung und nur OEMt mit Unify Bäppel drauf. Keine gute Wahl. Mit einer "richtigen" Firewall ist man da meist besser bedient. Allein schon von der Konfig Syntax her.
mexx
mexx 04.09.2019 um 09:27:25 Uhr
Goto Top
THX Aqui, wie ich die automatisch erzeugen Firewallregeln los werde, die aus den Portweiterleitungen entstanden sind, weißt Du nicht?
StefanKittel
StefanKittel 04.09.2019 um 12:04:53 Uhr
Goto Top
Zitat von @mexx:
THX Aqui, wie ich die automatisch erzeugen Firewallregeln los werde, die aus den Portweiterleitungen entstanden sind, weißt Du nicht?
Du kannst diese Regeln manuell in den Config-Dateien löschen.
Das ist aber sinnlos, da diese bei der nächsten Änderung neu erstellt werden.

Versuche "weiter Oben" eine "Gegenregel" zu erstellen.

Das ist ja sowohl Vor- wie auch Nachteile der Unifi.
Es ist eine vereinfachte Oberfläche mit "bestimmten" Einschränkungen.
So ganz das Gegenteil eines Mikrotiks.

Ich mag Unifi weil es übersichtlich und einfach ist und gut funktioniert.
Aber bestimmte Dinge kann man damit gar nicht oder nicht gut.

Dann nutze ich OPNsense auf einer APU.

Stefan