In dieser Anleitung erklären wir ihnen die Grundlagen zu Firewall Einstellungen in der UniFi OS Oberfläche der Dream Machine oder dem USG.
Dieser Artikel ist ein weiterer Teil einer ganzen Artikel-Reihe über Netzwerk-Technik mit den Komponenten von Ubiquiti. Diese bauen teilweise auf einander auf. Ein neuer Artikel der Reihe erscheint jede Woche und führt Sie Schritt für Schritt von 0 bis zur fertigen Netzwerk-Konfiguration. Parallel dazu finden Sie etliche der Anleitungen auch als Video in unserem YouTube Chanel. Also gleich hier abonnieren wenn Sie keine Lust haben zu lesen. Alle weiterführenden Artikel zum Thema Netzwerk mit Ubiquiti finden Sie als Link am Ende jedes Artikels.
UniFi OS Firewall Einstellungen
Die Firewall ist mit die wichtigste Komponente eines Netzwerks. Mit ihr fällt oder steht das Sicherheitskonzept und verhindert einen ungewollten Zugriff von Außerhalb. Hierfür sollten Sie sich ein wenig Zeit nehmen und diese sorgfältig konfigurieren. Da Sie bei Ubiquiti in der Firewall alles selbst bestimmen können ist hier besondere Aufmerksamkeit gefragt. Mit dieser Anleitung sollte es aber auch ein Laie schaffen, die Firewall vernünftig einzurichten. Sie können diese Anleitung sowohl für die Dream Machine, Dream Machine Pro und das USG verwenden. Alle genannten Geräte verwenden das UniFi OS.
Wichtige Infos Vorab
Wenn Sie schon Erfahrungen im Bereich Firewall Konfiguration mit IP-Tables oder ähnlichem haben, ist das ganze natürlich von Vorteil. Vorab ist es wichtig zu Wissen, dass die Firewall nicht so arbeitet wie alle anderen. Bei jeder Firewall ist erstmal alles blockiert. Bei Ubiquiti ist es genau umgekehrt. Es ist im nicht konfiguriertem Zustand alles erlaubt. Jegliche Verbindungen zwischen den Netzwerken sind erlaubt. Es gibt lediglich ein paar Grundregeln für die Funktion der Dream Machine, auf die Sie aber auch keinen Einfluss haben.
Achten Sie beim Erstellen der Regeln immer darauf das die Erlaubt-Regeln immer vor den Block Regeln stehen. Die Firewall arbeitet jede Anfrage nämlich immer von oben nach unten ab. Wird hier eine bestimmte Aktion erlaubt und dann die identische Aktion später blockiert. Greift die Blockierung nicht, da sie zuerst erlaubt wurde. Also achten Sie auf die Positionen der Regeln! Erst alle erlaubt Regeln dann alle blockieren Regeln und ganz zum Schluss die Regeln von UniFi selbst.
WAN LAN Guest (Local, IN und OUT)
Für diejenigen unter ihnen, die ganz frisch mit dem Thema Firewall Regeln selber erstellen sind, hier ein paar Erläuterungen zu den einzelnen Bereichen.
Als WAN wird der Bereich bezeichnet, an dem das Internet direkt anliegt. Hier werden zum Beispiel Port-Weiterleitungen eingerichtet. Für den Anfang brauchen Sie diesen Bereich erstmal nicht. Weder den WAN IN noch WAN lokal. Trotzdem hier die Erklärung für das reine Verständnis. WAN IN ist jeglicher Datenverkehr der direkt aus dem Internet ankommt. WAN OUT/Lokal ist jeglicher Datenverkehr aus allen Netzen ins Internet.
Der zweite Bereich ist der LAN Bereich. Auch dieser ist unterteilt in LAN lokal, LAN IN und OUT. Hier werden Sie die meisten Regeln für Ihre Netzwerke einrichten. Wobei Sie sich hier größtenteils nur um den Bereich LAN IN kümmern müssen. Hier auch nochmal zum reinen Verständnis die Erklärung der Begriffe. LAN OUT ist der ausgehende Datenverkehr Ihrer angelegten Netzwerke. IN ist der Datenverkehr zu Ihren Netzwerken. Lokal ist der direkte Datenverkehr von einem Netzwerk zu einem anderen Netzwerk.
Der dritte und letzte Bereich ist der Guest Bereich. Dieser wird, genau wie auch LAN-Bereich in (Local, IN und OUT) unterteilt. Der Datenverkehr der einzelnen Bereiche verhält sich genauso wie beim LAN Bereich.
Einzelne Punkte der Firewall Einstellungen
Name definieren
Im Feld Name tragen Sie einfach einen gewünschten Namen für ihr Netzwerk ein. Als Beispiel: Büro, Office, Server, Öffentlich, Gäste, IoT, WLAN, Wohnzimmer, Küche und so weiter.
Aktiviert
Hier lassen sich Regeln ein oder Ausschalten um diese zu Testzwecken deaktivieren zu können ohne diese direkt komplett zu löschen.
Positionierung
Hier können Sie die Position in der Tabelle der Regeln festlegen. Im Normalfall wählen Sie immer „Vor den vorkonfigurierten Regeln“. Die vorkonfigurierten Regeln werden dann von der UniFi-Firewall selbst erstellt und werden für den grundlegenden Betrieb der Firewall benötigt.
Aktion
Hier können Sie die Art der Regel festlegen. Verwerfen verwenden Sie, wenn Sie mit ihrer Regel den Datenverkehr blockieren möchten. Akzeptieren wählen Sie, wenn Sie mit ihrer Regel den Datenverkehr erlauben möchten. Ablehnen benötigen Sie im Normalfall eigentlich nicht außer Sie möchten der Gegenstelle eine Nachricht hinterlassen das der Datenverkehr geblockt wurde.
IPv4-Protokolle
Im Normalfall wählen Sie hier „Alle“ außer Sie möchten ein bestimmtes Protokoll erlauben oder blockieren.
Logging
Setzen Sie hier einen Haken wenn der Datenverkehr in Log-Files aufgezeichnet werden soll.
Zustand
Wählen Sie hier die Zustände für die ihre Regel greifen soll. Neu ist eine nicht bestehende neue Verbindung. Hergestellt bezeichnet eine Verbindung die bereits besteht. Ungültig, sind wie der Name schon sagt, ungültige Verbindungen. Zugehörig bezeichnet Verbindungen die eine korrekte Zuweisung haben.
IPSec
Als IPSec wird ein spezielles Sicherheits-Protokoll bezeichnet, dass zum Beispiel für VPN-Verbindungen eingesetzt wird.
Ziel und Quelle
Jede Regel hat ein Ziel und eine Quelle. Diese werden ganz unten bei der Erstellung einer neuen Regel definiert. Sie können hier ganze Netzwerke mit alle IP-Adressen auswählen oder auch nur den Gateway des Netzwerks. Als weiteres können Sie einzelne IP-Adressen oder Gruppen auswählen. Bei einer einzelnen IP-Adresse, haben Sie zusätzlich noch die Möglichkeit die MAC-Adresse des Gerätes mit anzugeben. Das erhöht nochmal die Sicherheit. Zum reinen Verständnis geben wir im nächsten Artikel noch ein paar Beispiele für Regeln.
Alle Anleitungen zu Netzwerk mit Ubiquiti
In der Artikel-Reihe „Netzwerk“ werden wir ihnen Schritt für Schritt zeigen, wie Sie ein Professionelles Heimnetzwerk für ein kleines Budget einrichten. Dazu verwenden wir diverse Komponenten von Ubiquiti aus der UniFi-Serie. Hier finden Sie alle weiterführenden Anleitungen zum Thema Netzwerk Technik mit Ubiquiti.
- Ubiquiti Netzwerk-Technik
- Ubiquiti als Alternative zu FritzBox, Speedport und Co. (LESEN)
- UniFi Netzwerkgeräte im Vergleich – Router, Switches, WLAN. (LESEN)
- Was ist PoE, passiv, PoE+, IN und OUT? (LESEN)
- UniFi OS und dessen Möglichkeiten. (LESEN)
- Einstellungen im UniFi OS erklärt. (LESEN)
- Dream Machine einrichten. (LESEN)
- Doppeltes NAT beim Heim-Netzwerk vermeiden. (LESEN)
- FritzBox – Internet-Port durchschleifen und als Modem nutzen. (LESEN)
- WLAN LAN VLAN Netzwerk einrichten. (LESEN)
- MAC-Adresse anzeigen lassen in Windows und iOS. (LESEN)
- Unifi OS Backup und automatisches Backup erstellen. (LESEN)
- UniFi OS – Feste IP für Geräte trotz DHCP. (LESEN)
- LAN-Ports Dream Machine / Switch einem Netzwerk zuweisen. (LESEN)
- Firewall Einstellungen Grundlagen erläutert. (LESEN)
- Firewall Grund-Regeln und Gruppen erstellen. (LESEN)
- Firewall – Eigene individuelle Regeln erstellen. (LESEN)
- Netzwerkkabel selber anfertigen mit Crimp-Werkzeug (LESEN)
Nützliche Links
Weitere Tipps und Tricks zu Hardware finden Sie hier.
Beitragsbildquelle: Screenshot UniFi OS © Ubiquiti