Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Unifi USG - Unterschied Firewall Regel und Portweiterleitung

Mitglied: KodaCH

KodaCH (Level 1) - Jetzt verbinden

17.11.2019 um 09:02 Uhr, 517 Aufrufe, 10 Kommentare, 2 Danke

Guten Morgen

Bei einer Unifi USG habe ich unter "Routing & Firewall" einerseits die Firewall Regeln für WAN IN, und die Port Forwarding.

Wenn ich nun möchte das ich von aussen über Port X auf meine Umgebung komme, konnte ich dies mit Port Forwarding ohne Probleme realisieren. Trage ich dort den Port ein, komme ich sofort auf das entsprechende System. Soweit so gut. Ich benötige keine Firewallregel damit es funktioniert.

Was ich nun aber nicht verstehe, für was sind die Firewall Regeln "WAN IN"?

Nach meinem - voraussichtlich falschen Verständnis - müsste es doch dann auch eine WAN IN Regel mit
Source: "Alle IP's" auf Port "X"
Destination "Ip von internem Gerät" auf Port "X"
benötigen.
In früheren Versionen gab es wohl das Port Forwarding nicht und diese wurden in den Firewall Regeln eingetragen. Ich finde eigentlich nur zu dieser Situation Beiträge oder Hilfestellungen.
Wenn ich z.B. nur eine Firewall Regel wie oben beschrieben eintrage aber keine Portweiterleitung funktioniert es nicht.

Ich bedanke mich bei allen die versuchen bei mir den Knopf zu lösen :D

Gruss und Danke

Koda
Mitglied: FFSephiroth
17.11.2019 um 09:34 Uhr
Eine USG funktioniert anders als eine normale Firewall. Wenn du eine USG einrichtest, ist von Haus aus alles offen. Wenn du eine Firewall einrichtest, ist von Haus aus alles gesperrt und du musst nach und nach freigeben. Dazu ist noch zu sagen, dass der USG zu einer richtigen Firewall noch jede Menge Einstellungen fehlen. Ich hab ein USG und hatte vorher eine Clavister E20.
Bitte warten ..
Mitglied: KodaCH
17.11.2019 um 09:37 Uhr
Guten Morgen

Vielen Dank für deine Antwort.

Intern ist wirklich alles offen das habe ich auch schon gemerkt. Hier bin ich aber nach und nach alles am Schliessen und eines nach dem anderen was nötig ist zu öffnen.

Das einzige was mich einfach etwas irritiert ist weshalb das Port Forwarding ausreicht, und weshalb es theoretisch nicht auch einfach Funktioniert wenn ich die WAN IN Regel erstelle für den einzelönen Port. Dort kann ich ja auch die Quelle und das Ziel angeben.

Gruss

Koda
Bitte warten ..
Mitglied: Spirit-of-Eli
17.11.2019 um 10:11 Uhr
Zitat von KodaCH:

Guten Morgen

Vielen Dank für deine Antwort.

Intern ist wirklich alles offen das habe ich auch schon gemerkt. Hier bin ich aber nach und nach alles am Schliessen und eines nach dem anderen was nötig ist zu öffnen.

Das einzige was mich einfach etwas irritiert ist weshalb das Port Forwarding ausreicht, und weshalb es theoretisch nicht auch einfach Funktioniert wenn ich die WAN IN Regel erstelle für den einzelönen Port. Dort kann ich ja auch die Quelle und das Ziel angeben.

Gruss

Koda

Moin,

die USG ist nicht ganz ehrlich. Bzw. wird es nicht angezeigt.

Eine normale FW erstellt beim Portforwarding ebenfalls Firewall Regeln. Die USG muss dies auch tun, aber zeigt sie im Interface nicht an.
Ist eben wie eine Fritzbox.

Gruß
Spirit
Bitte warten ..
Mitglied: FFSephiroth
17.11.2019 um 10:11 Uhr
Die USG erstellt viele Regeln automatisch selbst. Bestes Beispiel ist eine S-2-S VPN zwischen 2 Sites auf einem Controller, bei der auf beiden Seiten ein USG steht. Das geht mit 3 Klicks und die Verbindung steht.
Bitte warten ..
Mitglied: 141815
17.11.2019, aktualisiert um 10:46 Uhr
Das ist so:
Das Paket kommt an der Firewall in der PREROUTING-CHAIN an, dort setzt das DST-NAT für das Portforwarding an und dort entscheidet die Firewall ob das Paket an die INPUT-CHAIN der Firewall geht oder ob es an einen anderen Host über die FORWARD-CHAIN geleitet wird. Da DST-NAT die Zieladresse im PREROUTING umschreibt kommt das Paket gar nicht mit der INPUT-CHAIN in Berührung sondern es wandert direkt über die FORWARD-CHAIN. Für die FORWARD-CHAIN erstellt die Firewall dann automatisch eine entsprechende Regel die diese Pakete durchlässt, wenn man eine Portweiterleitung einrichtet.

Die INPUT-CHAIN ist also erst mal nur das was an die Firewall selbst gerichtet ist, da aber im PREROUTING die Zieladresse schon umgeschrieben wird kommt hier eine Regel an der INPUT-CHAIN gar nicht mehr zum tragen.

Les dir einfach mal das hier durch, dann verstehst du das Konzept
http://linux-training.be/networking/ch14.html

image - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: KodaCH
17.11.2019, aktualisiert um 10:39 Uhr

die USG ist nicht ganz ehrlich. Bzw. wird es nicht angezeigt.

Eine normale FW erstellt beim Portforwarding ebenfalls Firewall Regeln. Die USG muss dies auch tun, aber zeigt sie im Interface nicht an.
Ist eben wie eine Fritzbox.

Ok das erklärt es schon. Danke. Aber eine Frage dazu damit ich die WAN IN Regeln richtig verstehe oder dann richtig verwalten kann.
Somit hätte ja auch die Regel

Source
Source Type: Address/Port Group
IPv4: Any
Port Group: X

Destination:
Destination Type: Address/Port Group
IPv4: Mein internes Gerät
Port Group: X
funktionieren müssen sofern kein Port Forwarding eingerichtet wurde.

In diesem Zusammenhang noch so eine andere Frage
Wenn ich Als Source Type Network wähle, kann ich alle internen Netzwerke wählen aber kein WAN Netzwerk. Die WAN IP ändert sich auch immer. Ist es hier die einzige Möglichkeit "Any" zu wählen? Bei einer älteren Firewall musste ich bei WAN Regeln immer die WAN Schnittstelle wählen.

Gruss

Koda
Bitte warten ..
Mitglied: NordicMike
LÖSUNG 17.11.2019, aktualisiert um 10:54 Uhr
Die Firewall Regel „erlaubt“ eine Kommunikation von-nach und ändert / routet sie nicht.
Das Portforwarding „leitet“ / routet eine Kommunikation von-nach und prüft nicht wer darf oder nicht.

Wenn Du „nur“ eine Firewallregel von-nach hast, heißt das noch lange nicht, dass die Pakete auch diesen Weg nehmen werden. Das kann die Firewall selbst nicht lenken. Sie kann nur erlauben oder sperren, „falls“...

Das Portforwarding ist quasi das Routing des Pakets. Es stellt die Straße zum Ziel her. Aber auf der Straße kann sich noch eine Schranke befinden (Firewall).

Um also ans Ziel zu kommen, wird beides benötigt. Du musst also immer für das Portforwarding auch eine Firewall mit den gleichen Einstellungen bereit halten. Das macht das USG automatisch und zeigt diese selbstverständliche Regel nicht an. Andere Firewalls zeigen es, z.B. im Sophos UTM kann man die Ansicht zwischen „benutzerdefinierte Firewallregeln“ und „automatische Firewallregeln“ (z.B. Durch das NAT) wechseln.

In Deinem Fall musst Du Dich also nicht darum kümmern und Du siehst sie auch nicht. Du kannst trotzdem zu der bestehenden automatischen Firewallregeln noch eine zusätzliche benutzerdefinierte Firewallregel erstellen, wenn die Portweiterleitung nicht generell für alle gelten soll, sondern nur für einen bestimmten IP Bereich, z.B. um zwei Niederlassungen zu verbinden. Diese benutzerdefinierte Regel greift vor der automatischen Regel. Somit werden anonyme Angreifer blockiert und die Niederlassung wird trotzdem auf den Port des Ziels durchgelassen.

Bei wieder anderen Firewalls muss man auch beides per Hand eingeben. Dann wundern sich einige, warum trotz eingerichteter Portweiterleitung nichts durch kommt.
Bitte warten ..
Mitglied: Spirit-of-Eli
17.11.2019 um 10:47 Uhr
Wenn ich das richtig sehe nutzen die Regeln auf dem WAN Interface erst etwas wenn kein NAT genutzt wird. Deswegen ziemlich sinnlos bei der USG.
Außer natürlich Traffic der direkt auf die WAN IP abzielt.
Bitte warten ..
Mitglied: KodaCH
17.11.2019 um 11:29 Uhr
Danke euch allen für die Hilfe und erklärungen
Bitte warten ..
Mitglied: aqui
17.11.2019 um 11:43 Uhr
Ich benötige keine Firewallregel damit es funktioniert.
Wie gruselig !! Zeigt ja das die Firewall nicht funktioniert oder falsch oder fehlerhaft konfiguriert wurde !
Na ja ist ein WLAN Hersteller da darf man wohl bei Routing und Security seine Erwartungen nicht zu hoch schrauben. Von der gruseligen Konfig Syntax mal gar nicht zu reden...aber egal.
Bitte warten ..
Ähnliche Inhalte
Netzwerkmanagement
Routing mit Unifi USG
Frage von Der.ITlerNetzwerkmanagement5 Kommentare

Hallo Ihr, ich habe ein Unifi USG auf diesen sind mehrere VLANs eingerichtet. Problem: Gäste die sich mit einer ...

Netzwerkmanagement

Unifi USG VLAN Isolierung via Firewallregeln

Frage von mexxNetzwerkmanagement2 Kommentare

Hallo zusammen, ich habe Schwierigkeiten damit die Firewall vom USG zu verstehen. Vorab, Firewall und VLAN, sind seit 20 ...

LAN, WAN, Wireless

Unifi USG 4 Pro Firewall Funktionalität mittels Lan 2 als Ausgang umgehen

Frage von DasBrotLAN, WAN, Wireless

Hallo zusammen! Hier der Bestand: USG Pro4 - 4.4.22.5086057 Unifi Switche PoE - 3.9.36.9008 AC Mesh Pro - 3.9.36.9008 ...

Router & Routing

Zyxel USG 60 Firewall Regeln

Frage von samet22Router & Routing6 Kommentare

Hallo Leute, Habe hier eine sehr komische Sache - vielleicht habt ihr eine Erklärung dafür Unter Policy Control stehen ...

Neue Wissensbeiträge
Linux Tools
Dolibarr ERP CRM - Update Prozess
Anleitung von radiogugu vor 20 StundenLinux Tools

Hallo. Dies soll den kurzen Update Prozess der Software schildern. Zugrunde liegt eine Ubuntu Linux VM an der Stelle. ...

Linux Tools
Dolibarr ERP CRM - Überblick der Software
Anleitung von radiogugu vor 22 StundenLinux Tools

Hallo. Nach der Anleitung zur Einrichtung und Installation der Datenbank und des Webserver Dolibarr ERP CRM Installation möchte ich ...

Linux Tools

Dolibarr ERP CRM Installation der Datenbank und des Webserver

Anleitung von radiogugu vor 22 StundenLinux Tools

Hallo zusammen. Ich bin seit kurzem nebenberuflich selbstständig und suchte eine geeignete Software für die Auftragsverwaltung, CRM und ein ...

Sicherheit

Chrome 79 übermittelt eingegebene Kennwörter nach Hause

Information von DerWoWusste vor 1 TagSicherheit15 Kommentare

Ab sofort warnt Chrome standardmäßig Nutzer davor, wenn aus Leaks bekannte Passwörter zum Einsatz kommen. Beim Besuch einer Website, ...

Heiß diskutierte Inhalte
Netzwerke
Netzwerkstruktur für Zuhause 1Anschluss 2 Netze
Frage von chrishaefNetzwerke24 Kommentare

Hallo liebes Forum, Ich hätte da mal eine Frage an die Profis. Bei uns liegt ein DSL Anschluss im ...

Batch & Shell
Eingabeaufforderung macht Pause bei Datensicherung mit Robocopy auf DVD
Frage von anmelderBatch & Shell23 Kommentare

Hallo, ich sichere einige Daten per Robocopy auf DVD-RAM. Wenn ich nicht am Rechner sitze macht der Befehl nach ...

Server-Hardware
Server startet nach Debian Installation nicht mehr
Frage von RobertDServer-Hardware17 Kommentare

Hallo, ich habe heute zum ersten Mal auf meinen Server (selbst zusammengebaut) Linux installiert, ging auch alles ganz gut. ...

Windows 10
Windows 10 Herunterfahren - Funktioniert nach Upgrade von Windows 7 nicht mehr
Frage von krischeuWindows 1016 Kommentare

Hi, ich habe verschiedene PCs mit dem Upgrade Assistenten von Windows 7 Pro 64 Bit auf Windows 10 geupdatet. ...