Unifi USG VLAN Isolierung via Firewallregeln
Hallo zusammen,
ich habe Schwierigkeiten damit die Firewall vom USG zu verstehen. Vorab, Firewall und VLAN, sind seit 20 Jahren ein Thema in meinen IT-Beruf, aber ich verwende im beruflichen Umfeld Zonen-basierte Firewalls. Sprich ein VLAN ist eine Zone mit einer defaultregel DROP und dann kann ich in der Zone eingehend und ausgehenden Traffic in andere Zonen definieren.
Nun komme ich mit diesen Wissen bei der USG Firewall ins taumeln, weil ich dort nur 2 "Zonen" habe. LAN IN und LAN OUT. Und in beiden ist eine default "akzeptiere alles" regel. Wenn ich nun unterschiedliche VLANs erzeuge und diese trennen möchte, müsste ich für jedes VLAN eine eingehende und ausgehende Regel definieren. Ich habe den Eindruck, dass ich bei 4 VLANs folgende Regeln erzeugen müsste.
VLAN1 zu VLAN2 DROP ALL
VLAN1 zu VLAN3 DROP ALL
VLAN1 zu VLAN4 DROP ALL
VLAN2 zu VLAN1 DROP ALL
VLAN2 zu VLAN3 DROP ALL
VLAN2 zu VLAN4 DROP ALL
VLAN3 zu VLAN1 DROP ALL
VLAN3 zu VLAN2 DROP ALL
VLAN3 zu VLAN4 DROP ALL
VLAN4 zu VLAN1 DROP ALL
VLAN4 zu VLAN2 DROP ALL
VLAN4 zu VLAN3 DROP ALL
Über den default DROPs dann die ALLOW Regeln. Das kann doch aber so nicht richtig sein? Aber wie trennt man mit der USG sonst alle VLANs voneinander?
Und muss ich das in beiden CHAINS machen? LAN IN und LAN OUT? Mich verwirrt völlig, dass man VLANs (Netze) definieren kann, aber die GUI für die Firewallregeln nur ein "Netz" kennt. Nämlich LAN IN/OUT.
Danke für eure erklärenden Worte.
ich habe Schwierigkeiten damit die Firewall vom USG zu verstehen. Vorab, Firewall und VLAN, sind seit 20 Jahren ein Thema in meinen IT-Beruf, aber ich verwende im beruflichen Umfeld Zonen-basierte Firewalls. Sprich ein VLAN ist eine Zone mit einer defaultregel DROP und dann kann ich in der Zone eingehend und ausgehenden Traffic in andere Zonen definieren.
Nun komme ich mit diesen Wissen bei der USG Firewall ins taumeln, weil ich dort nur 2 "Zonen" habe. LAN IN und LAN OUT. Und in beiden ist eine default "akzeptiere alles" regel. Wenn ich nun unterschiedliche VLANs erzeuge und diese trennen möchte, müsste ich für jedes VLAN eine eingehende und ausgehende Regel definieren. Ich habe den Eindruck, dass ich bei 4 VLANs folgende Regeln erzeugen müsste.
VLAN1 zu VLAN2 DROP ALL
VLAN1 zu VLAN3 DROP ALL
VLAN1 zu VLAN4 DROP ALL
VLAN2 zu VLAN1 DROP ALL
VLAN2 zu VLAN3 DROP ALL
VLAN2 zu VLAN4 DROP ALL
VLAN3 zu VLAN1 DROP ALL
VLAN3 zu VLAN2 DROP ALL
VLAN3 zu VLAN4 DROP ALL
VLAN4 zu VLAN1 DROP ALL
VLAN4 zu VLAN2 DROP ALL
VLAN4 zu VLAN3 DROP ALL
Über den default DROPs dann die ALLOW Regeln. Das kann doch aber so nicht richtig sein? Aber wie trennt man mit der USG sonst alle VLANs voneinander?
Und muss ich das in beiden CHAINS machen? LAN IN und LAN OUT? Mich verwirrt völlig, dass man VLANs (Netze) definieren kann, aber die GUI für die Firewallregeln nur ein "Netz" kennt. Nämlich LAN IN/OUT.
Danke für eure erklärenden Worte.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 504828
Url: https://administrator.de/forum/unifi-usg-vlan-isolierung-via-firewallregeln-504828.html
Ausgedruckt am: 26.12.2024 um 00:12 Uhr
2 Kommentare
Neuester Kommentar