raspido schrieb:
Beim Dream Router gibt es zu jedem Bereich jeweils IN, OUT und Local. So richtig blicke ich da noch nicht durch.
Firewall Grundlagenwissen.
Ich kann deinen Wunsch nach mehr Kontrolle verstehen, aber man sollte auch realistisch bleiben, wenn man nicht das nötige KnowHow dazu hat. Nicht selten liest man hier im Forum von Laien, dass sie ihr Heimnetzwerk gerne "sortieren" möchten, dazu etwas von VLANs gelesen haben und nun ein halbes Dutzend VLANs planen. Hier gilt aber ganz klar: Weniger ist mehr. Mit jedem VLAN steigt die Komplexität und das Regelwerk, welches die Zugriffe untereinander reglementiert. Ein oft gewünschtes "IoT" oder auch "SmartHome" VLAN ist zwar schön und gut, aber wenn's dumm läuft, kann man seine smarten Geräte plötzlich nicht mehr mit dem Smartphone steuern, weil sich beides in verschiedenen Netzwerken befindet und das technisch häufig nicht vorgesehen ist. Man kann sich damit also sehr schnell ins eigene Knie schießen.
In Bezug auf die Firewall selbst empfiehlt es sich, entsprechende
Hilfeseiten bei Ubiquiti zu lesen und zu verstehen. Ich rate dringend davon ab, einfach blind irgendwelche Tutorials nachzuklicken, egal wie seriös die Quelle auch scheinen mag oder tatsächlich ist - egal ob bei Youtube oder auch hier im Forum, meine Person inklusive. Dabei geht es schlicht und ergreifend darum, dass solche Tutorials nicht immer exakt den Anwendungsfall abbilden müssen, vor dem man selbst gerade steht. Klickt man das einfach nach ohne zu verstehen warum und wieso die Regel nun so aussieht wie sie im Tutorial dargestellt ist, baut man sich im Zweifelsfalle Sicherheitslücken ein oder sperrt sich andersherum womöglich sogar aus dem System aus - mit einer falschen Deny-Regel an der falschen Stelle. Am Ende kann es passieren, dass nur noch ein kompletter Werksreset hilft.
Daher ist es essentiell, dass man sich mit der Thematik an sich beschäftigt und nicht nur mit der GUI. Netzwerksicherheit entsteht nicht durch die bloße Existenz einer fortgeschrittenen Firewall, sei es in einer UDM oder gar einer pfSense, sondern durch deren korrekte Konfiguration.
Es gilt das
KISS-Prinzip. Nicht gleich mit einem halben Dutzend VLANs starten, sondern nur so viele VLANs wie nötig, aber so wenige wie möglich verwenden. Subnetze sind nicht dazu da, nur dem menschlichen Sortierzwang zu dienen, sondern stellen sogesehen verschiedene Berechtigungsebenen dar. Also welches Subnetz/VLAN darf mit welchem und das auch nur über Ports xyz und so weiter. VLANs mit Allow Any<>Any Firewalls dazwischen, wären also ziemlich sinnfrei.
