Firewall Konfiguration (Unifi), Was ist mit Ip Adressen über 193.xx ?

  • Ersteller Ersteller Kaktus6763
  • Erstellt am Erstellt am
K

Kaktus6763

Gast
Ich nutze seit einiger Zeit diverse Netzwerktechnik von Unifi, bis jetzt läuft die Firewall mit den default Einstellungen.
Mit dem Rest kenn ich mich mittlerweile relativ gut aus, mit den Firewall regeln allerdings noch nicht ganz so gut.

Frage1: Gleich die erste Regel in der Firewall ist Drop, all WAN in Traffic, IP Block 23.213.164.103 to 192.168.0.1
Dies bedeutet doch das er keinen nicht angeforderten Traffic aus diesem Bereich durchlassen soll, oder? Was ist dann mit Bereichen davor oder danach?
Weil ich bin heute mal durch Zufall auf meinem Handy auf Wie ist meine IP gegangen und draufgekommen, dass ich die IP 213.225.7.xxx habe. Diese IP wäre doch durch die obere Regel nicht erfasst?!
Bedeutet dies, dass jeder der so eine genannte IP hat einfach von außen reinkommen könnte?

Frage2: Ich bin wie gesagt noch relativ neu damit und hab etwas bedenken Sicherheitslücken rein zu machen :/
Fallen euch (siehe Screenshot) da irgendwelche problematischen Punkte auf?

Danke für alle Hilfe/Ratschläge/Meinungen zu meiner Config :)

Kurz zu meinem Netzwerk:
Ich benutze ausschließlich IPv4, kein IPv6
Ich habe vier V-Lans:
-Hauptlan 192.168.0.0/22
-Camera: 192.168.30.0/24
-VPN: 192.168.40.0/24
-Guest: 192.168.50.0/24
 
Die 213.225.7.xxx ist Deine Internet IP. Da kannst Du nichts konfigurieren. Dein Handy hat auch eine Heimnetz IP.
 
BlubbsDE schrieb:
Die 213.225.7.xxx ist Deine Internet IP. Da kannst Du nichts konfigurieren. Dein Handy hat auch eine Heimnetz IP.
Das ist mir klar das die 213.xxx die Public IP meines Handys ist und das mir die vom ISP zugewiesen wird auch. Hab das nur als Beispiel gemeint ob jemand mit so einer IP von außen auf mein Heimnetz kommt, weil diese IP Bereiche anscheinend nicht von der Firewall gedeckt sind
 
Alles nicht genannte wird in jeder Firewall automatisch geblockt.
Die Regel-Liste wird immer von oben nach unten durchgegangen und wenn eine Zeile zutrifft dann wird diese Aktion gemacht und danach abgebrochen.
Wenn also keine Regel zutrifft steht immer ganz unten der sogenannte "default deny", also das Paket wird verworfen.
Brauchst da also keine Angst haben.
 
  • Gefällt mir
Reaktionen: morb, SVΞN, madmax2010 und 2 andere
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: morb, SVΞN, madmax2010 und eine weitere Person
Bei Firewall-Regeln gilt: First Come, First Served. Eine "Block all" Regel sollte stets die letzte Regel sein, aber auch stets vorhanden und ohne Einschränkungen.
Bei den meisten sog. "Hardware"-Firewalls (eigentlich nur dedizierte Rechnerchen mit passendem OS, auch hier ist die Firewall ein Stück Software) ist dies auch das Standardverhalten, zur Übersicht und Sicherheit pflege ich jedoch diese Regel stets mit ein. So kann ich auch das logging nach Bedarf anpassen.

Willst Du jetzt z.B. den Bereich von x.x.x.100 - x.x.x.150 sperren, aber die x.x.x.125 generell freigeben, ist die Reihenfolge: Erst die Freigabe, dann die Sperre. Denn die erste, zutreffende Regel wird auch angewendet. Für Ports, Verbindungszustände, etc. gilt das Gleiche.

Und immer: Nur "freischalten", was Du auch wirklich benötigst. Wobei es sich halt schon empfiehlt, HTTP, HTTPS, DNS und IMAP, SMTP, ggf. NTP generell durchzulassen.
 
  • Gefällt mir
Reaktionen: morb, SVΞN, madmax2010 und eine weitere Person
Bei UniFi und auch fast allen anderen Firewalls für den Semi-Professionellen gebrauch sind die Default Regeln:
  • Von Aussen nach Innen, alles blockiert
  • Von Innen nach Aussen, alles erlaubt

wenn man das geändert haben möchte, siehe Link von Nilson.
 
Zuletzt bearbeitet:
Eagle_B5 schrieb:
Die Regel 2000, Wan Out & Wan In, sind nonsense
Natürlich Blödsinn. Das sind Assertion Rules welche sicherstellen daß nix Spoofed reinkommt oder rausgeht. Dasselbe gilt für source / destination = 127.0.0.0/8 an einem Interface ungleich loopback.


PS. Default rules sind zwar üblich, aber nicht inhärent und schon gar nicht default-to-deny.
Sowas legt man am besten selber an an allerletzter Stelle in der Liste.
Default-to-accept ist genauso möglich, wenn man das will.
 
  • Gefällt mir
Reaktionen: Raijin
Danke, wusste ich nicht. @RalphS
 
Ein gängiges Ruleset für WAN_IN sähe zB so aus:

1 DROP bogon (*)
2 DROP invalid
3 ACCEPT established/related
4 ACCEPT Quell-IP X
5 ACCEPT PortweiterleitungY
6 ACCEPT PortweiterleitungZ
7 DROP all

(*) bogon beinhaltet allerlei "falsche" Quellen, wie beispielsweise lokale Subnetze, die es im www nicht gibt oder die aus anderen Gründen als nicht korrekt eingestuft werden. Entsprechende Pakete werden zum Teil auch als martian packets bezeichnet.

Die Reihenfolge der Regeln ist dabei primär der Performance geschuldet. Pakete, die sofort als fehlerhaft oder potentiell eben schädlich eingestuft werden, blocken Regel 1 und 2 sofort weg. Regel 3 ist ein Shortcut für bereits hergestellte Verbindungen, die nicht mehr nöher überprüft werden müssen, und ab Regel 4 gehen die Ausnahmen los, beispielsweise für eine immer vertrauenswürdige Quelle (zB feste IP der Firma) oder explizit eingerichtete Portweiterleitungen. Alles was nicht durch 1-3 abgefangen und keine der Ausnahmen aus 4-6 triggert, wird ganz am Ende pauschal geblockt.

Bei Unifi oder anderen Firewallsystemen, auch etwaigen Frontends von iptables unter Linux, sind diese Regeln nicht immer sichtbar, weil sie teilweise in separaten Chains weggekapselt sind. Sie werden in der GUI teilweise ausgeblendet, sind aber im System vorhanden - zumindest wenn die Firewall mittels Wizard erstellt wurde.
 
  • Gefällt mir
Reaktionen: Twostone
Zurück
Oben