Die UniFi Firewall des Security Gateway einstellen. UniFi Firewall Regeln erstellen und mit einer VLAN Isolation den Datenverkehr verschiedener Netze beschränken. Eine Einführung für Anfänger.

Vorwort

Vorab ist wichtig zu wissen, die UniFi Firewall ist in der Grundeinstellung perfekt eingestellt. Es wird wie gewollt und üblich kein Datenverkehr über das Internet in das Netzwerk gelassen. Das tut auch eine FRITZ!Box oder ein Speedport ebenso wenig. Wenn die Gastrichtlinien wie in meinem Beitrag hier eingerichtet sind, dürfen Gäste auch nur im Internet surfen und nicht in private Netze nach RFC 1918 zugreifen.

Demzufolge sind Einstellungen in der Firewall nur dann nötig, wenn zum Beispiel das Sperren von Ports oder VLAN Isolation angedacht sind. 

Ubiquiti USG Netzwerk/Router ( 3 Gigabit-Ethernet-Ports, UniFi-Controller)
  • Integrierte und mit UniFi-Controller verwaltet v4.x
  • Gesamtleitungsrate von 3 Gbit / s für 512-Byte-Pakete oder mehr

UniFi Security Gateway Firewall

Was bedeuten die Firewall Regeln genau?

WAN ist das Internet oder externe Netzwerk

LAN ist irgendein internes Netzwerk, ausser Gast

GUEST internes Netzwerk, welches als Gast definiert wurde

LOCAL Netzwerkverkehr auf die Firewall selbst

WAN IN (WAN eingehend)

Alles was vom Internet auf die WAN-Schnittstelle des Security Gateway kommt, ist WAN IN. Es kommt also Datenverkehr aus dem Internet zum Security Gateway. Ein Blick in die Regeln zeigt auch eventuelle Portweiterleitungen. Diese werden absichtlich und gewollt vom Internet in das private Netzwerk dahinter gelassen. Die Firewall prüft also, was kommt vom Internet auf das USG (die Firewall) und was soll damit passieren.

WAN OUT (WAN ausgehend)

Der Datenverkehr vom privaten Netzwerk ins Internet ist hier gemeint. Möchte ich zum Beispiel für alle Netzwerke dahinter den Port 22 für SSH blockieren, ist hier der richtige Ort. Allerdings heißt das auch, für wirklich alle Netzwerke dahinter.

WAN LOCAL (WAN lokal)

Hier sind keine Einstellungen nötig. Es betrifft die Services der Firewall selbst an der WAN Schnittstelle. Beispielsweise sind hier Regeln definiert, wenn ein VPN-Server auf dem USG eingerichtet wurde. Da kein weiteres Gerät im Netzwerk ein VPN-Server ist, wird es unter WAN LOCAL definiert.

LAN OUT (LAN ausgehend)

Einfach definiert, der Datenverkehr welcher aus den privaten Netzwerken geht. Ziel ist an der Stelle irrelevant, da es aus dem LAN gehend soll.

LAN IN (LAN eingehend)

Wenn Daten in die privaten Netzwerke gehen sollen, dann ist LAN IN der richtige Ort für Regeln. Übrigens ist es sinnvoll, hier die Regeln für die Netzwerke zu setzen, wenn etwas blockiert werden soll. Nutze ich nämlich LAN OUT, kann ich sehr wohl im gleichen Subnetz via SSH auf einen Rechner zugreifen, wenn ich das blockiert habe. Definiere ich die Regel hier, ist das nicht so.

LAN LOCAL (LAN lokal)

Der Datenverkehr der USG Firewall für die LAN-Schnittstelle, also alle lokalen privaten Netzwerke.

Analog dem LAN ist die Aussage für das Gastnetzwerk zu verstehen.

UbiQuiti US-8-60W UniFi Switch
  • Gerätetyp: Switch
  • Lan: 10/100/1000 MBit/s, Auto-MDI/MDIX

VLAN Isolation

Um die privaten Netzwerke via VLAN Isolation voneinander zu trennen, lege ich eine Regel in LAN IN an. Diese Regel soll vor den vordefinierten Regeln angewandt werden, diese erlauben nämlich den Datenverkehr zwischen den VLANs. Die Datenpakete sollen den Zustand Neu, Hergestellt und Bezogen auf haben. Als Quelle gebe ich das Quellnetzwerk an, von dem auf ein anderes Netzwerk nicht zugegriffen werden soll. Wichtig ist, NETv4 um das gesamte Netzwerk zu definieren. Das Ziel ist das Zielnetzwerk, auf welches nicht zugegriffen werden soll und ebenfalls NETv4.

Das ist so oft zu wiederholen, bis alle gewünschten Zugriffe von einem auf das andere Netzwerk definiert sind.