2
Unifi USG VLAN Isolierung via Firewallregeln
Hallo zusammen,
ich habe Schwierigkeiten damit die Firewall vom USG zu verstehen. Vorab, Firewall und VLAN, sind seit 20 Jahren ein Thema in meinen IT-Beruf, aber ich verwende im beruflichen Umfeld Zonen-basierte Firewalls. Sprich ein VLAN ist eine Zone mit einer defaultregel DROP und dann kann ich in der Zone eingehend und ausgehenden Traffic in andere Zonen definieren.
Nun komme ich mit diesen Wissen bei der USG Firewall ins taumeln, weil ich dort nur 2 "Zonen" habe. LAN IN und LAN OUT. Und in beiden ist eine default "akzeptiere alles" regel. Wenn ich nun unterschiedliche VLANs erzeuge und diese trennen möchte, müsste ich für jedes VLAN eine eingehende und ausgehende Regel definieren. Ich habe den Eindruck, dass ich bei 4 VLANs folgende Regeln erzeugen müsste.
VLAN1 zu VLAN2 DROP ALL
VLAN1 zu VLAN3 DROP ALL
VLAN1 zu VLAN4 DROP ALL
VLAN2 zu VLAN1 DROP ALL
VLAN2 zu VLAN3 DROP ALL
VLAN2 zu VLAN4 DROP ALL
VLAN3 zu VLAN1 DROP ALL
VLAN3 zu VLAN2 DROP ALL
VLAN3 zu VLAN4 DROP ALL
VLAN4 zu VLAN1 DROP ALL
VLAN4 zu VLAN2 DROP ALL
VLAN4 zu VLAN3 DROP ALL
Über den default DROPs dann die ALLOW Regeln. Das kann doch aber so nicht richtig sein? Aber wie trennt man mit der USG sonst alle VLANs voneinander?
Und muss ich das in beiden CHAINS machen? LAN IN und LAN OUT? Mich verwirrt völlig, dass man VLANs (Netze) definieren kann, aber die GUI für die Firewallregeln nur ein "Netz" kennt. Nämlich LAN IN/OUT.
Danke für eure erklärenden Worte.
ich habe Schwierigkeiten damit die Firewall vom USG zu verstehen. Vorab, Firewall und VLAN, sind seit 20 Jahren ein Thema in meinen IT-Beruf, aber ich verwende im beruflichen Umfeld Zonen-basierte Firewalls. Sprich ein VLAN ist eine Zone mit einer defaultregel DROP und dann kann ich in der Zone eingehend und ausgehenden Traffic in andere Zonen definieren.
Nun komme ich mit diesen Wissen bei der USG Firewall ins taumeln, weil ich dort nur 2 "Zonen" habe. LAN IN und LAN OUT. Und in beiden ist eine default "akzeptiere alles" regel. Wenn ich nun unterschiedliche VLANs erzeuge und diese trennen möchte, müsste ich für jedes VLAN eine eingehende und ausgehende Regel definieren. Ich habe den Eindruck, dass ich bei 4 VLANs folgende Regeln erzeugen müsste.
VLAN1 zu VLAN2 DROP ALL
VLAN1 zu VLAN3 DROP ALL
VLAN1 zu VLAN4 DROP ALL
VLAN2 zu VLAN1 DROP ALL
VLAN2 zu VLAN3 DROP ALL
VLAN2 zu VLAN4 DROP ALL
VLAN3 zu VLAN1 DROP ALL
VLAN3 zu VLAN2 DROP ALL
VLAN3 zu VLAN4 DROP ALL
VLAN4 zu VLAN1 DROP ALL
VLAN4 zu VLAN2 DROP ALL
VLAN4 zu VLAN3 DROP ALL
Über den default DROPs dann die ALLOW Regeln. Das kann doch aber so nicht richtig sein? Aber wie trennt man mit der USG sonst alle VLANs voneinander?
Und muss ich das in beiden CHAINS machen? LAN IN und LAN OUT? Mich verwirrt völlig, dass man VLANs (Netze) definieren kann, aber die GUI für die Firewallregeln nur ein "Netz" kennt. Nämlich LAN IN/OUT.
Danke für eure erklärenden Worte.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 504828
Url: https://administrator.de/contentid/504828
Ausgedruckt am: 25.11.2024 um 03:11 Uhr
2 Kommentare
Neuester Kommentar
Moin,
ja, Unifi ist da anders
Jede normale Firewall hat ein Drop-All für alles.
Unifi hat ein Allow-All für alles.
Firewall - LAN In
1. 1x Allow Establish, Related
2. Deine Allow-Regeln
3. Deine Block-Regeln (für jedes VLAN zu jedem VLAN eine Regel)
Wenn man neue VLANs anlegt muss man dies anpassen.
Stefan
ja, Unifi ist da anders
Jede normale Firewall hat ein Drop-All für alles.
Unifi hat ein Allow-All für alles.
Firewall - LAN In
1. 1x Allow Establish, Related
2. Deine Allow-Regeln
3. Deine Block-Regeln (für jedes VLAN zu jedem VLAN eine Regel)
Wenn man neue VLANs anlegt muss man dies anpassen.
Stefan
Dann liege ich mit meiner Interpretation nicht falsch. Ich muss selber mit DROP Regeln für jedes VLAN in jedes VLAN abschptten und darüber die Allow Regeln erzeugen.
Hab hier noch was gefunden. Option2 könnte etwas Zeit sparen.
UniFi - USG Firewall: How to Disable InterVLAN Routing
Hab hier noch was gefunden. Option2 könnte etwas Zeit sparen.
UniFi - USG Firewall: How to Disable InterVLAN Routing
