In dieser Anleitung erklären wir ihnen, wie sie die wichtigsten Grund-Regeln und Gruppen in der UniFi OS Firewall erstellen.
Dieser Artikel ist ein weiterer Teil einer ganzen Artikel-Reihe über Netzwerk-Technik mit den Komponenten von Ubiquiti. Diese bauen teilweise auf einander auf. Ein neuer Artikel der Reihe erscheint jede Woche und führt Sie Schritt für Schritt von 0 bis zur fertigen Netzwerk-Konfiguration. Parallel dazu finden Sie etliche der Anleitungen auch als Video in unserem YouTube Chanel. Also gleich hier abonnieren wenn Sie keine Lust haben zu lesen. Alle weiterführenden Artikel zum Thema Netzwerk mit Ubiquiti finden Sie als Link am Ende jedes Artikels.
Das Thema dieser Anleitung ist die erste Einrichtung der UniFi OS Firewall mit den Grund-Regeln. Die Grund-Regeln sollten Sie als erstes anlegen bevor Sie anfangen, ihre eigenen Regeln zu definieren. Sind ihnen gewisse Begriffe oder Bereiche unklar dann schauen Sie doch mal in unserem Artikel zu Firewall Einstellungen vorbei.
Schritt 1 Grund-Regeln erstellen
Bevor wir jetzt die Regeln für ihre erstellten Netzwerke angehen, müssen erstmal ein paar Grund-Regeln erstellt werden. Damit sind nicht die Regeln gemeint, die von UniFi OS selbst erstellt worden sind. Die Vordefinierten Regeln sind bei allen Geräten gleich und können auch nicht verändert werden, da Sie zur Funktionalität der UniFi-Firewall gehören.
Wichtig: Erlauben-Regeln gehören immer über Blockieren-Regeln. Sollte sich eine Blockieren-Regel nach dem erstellen vor einer Erlauben-Regel befinden, verschieben Sie diese mit der Maus wieder nach unten zu den Blockieren-Regeln
1. Grund-Regel: ERLAUBEN – Hergestellt und Zugehörig
- Melden Sie sich in der UniFi OS Oberfläche an, klicken auf Network und in der Seitenleiste auf Einstellungen (Zahnrad-Symbol).
- Jetzt auf Routing und Firewall, oben nochmal auf Firewall dann auf IPv4-Regeln und LAN IN (LAN Eingehend).
- Klicken Sie unten auf den Button Neue Regel erstellen.
- Geben Sie der Regel einen Sinnvollen Namen wie zum Beispiel „Erlaubt hergestellte und Zugehörige Verbindungen“.
- Bei Aktion wählen Sie akzeptieren.
- Unter Zustand setzen Sie einen Haken bei Hergestellt und Zugehörig.
- Alle anderen Einstellungen belassen Sie so, wie Sie sind und klicken auf Speichern.
Diese Regel erlaubt den Datenverkehr von bereits bestehenden Verbindungen oder solchen die eine Zugehörigkeit nachweisen können.
2. Grund-Regel: BLOCKIEREN – Kommunikation zwischen Netzwerken
- Erstellen Sie eine weitere Neue Regel bei LAN IN.
- Geben Sie der Regel einen Sinnvollen Namen.
- Als Aktion wählen Sie diesmal Verwerfen.
- Bei Quell-Typ wählen Sie Adresse/Port-Gruppe aus und wählen unter IPv4-Adressgruppe „Alle Privaten IPv4 Adressen“.
- Bei Ziel-Typ wählen Sie ebenfalls Adresse/Port-Gruppe aus und wählen unter IPv4-Adressgruppe „Alle Privaten IPv4 Adressen“.
- Diese Gruppe müssen Sie noch erstellen. Wie das funktioniert erfahren Sie etwas weiter unten im Artikel.
- Alle anderen Einstellungen belassen Sie so, wie Sie sind und klicken auf Speichern.
Diese Regel blockiert den gesamten Datenverkehr zwischen allen Netzwerken (VLANs) die Sie erstellt haben oder noch erstellen werden.
3. Grund-Regel: ERLAUBEN „LAN“ zu allen eigenen Netzwerken
Das Netzwerk „LAN“ ist ihr Hauptnetzwerk also jenes, das Grundlegend besteht, ohne das Sie eigene Netzwerke angelegt haben. Alle Geräte, die über ein Netzwerkkabel angeschlossenen sind, befinden sich erstmal im Netzwerk „LAN“. Hier befinden sich auch ihre Dream Machine, USG, Switches, Acces Points oder was auch immer Sie sonst noch an Netzwerk-Geräten verbunden haben. Damit ihre Netzwerk-Geräte den Datenverkehr an ihre selbst erstellten VLANs weiter leiten kann ist diese Regel nötig.
- Erstellen Sie eine weitere Neue Regel bei LAN IN.
- Geben Sie der Regel einen Sinnvollen Namen.
- Bei Aktion wählen Sie Erlauben.
- Als Quell-Typ wählen Sie Netzwerk aus und stellen unter Netzwerk dann „LAN“ ein.
- Bei Ziel-Typ wählen Sie Adresse/Port-Gruppe aus und wählen unter IPv4-Adressgruppe „Alle Privaten IPv4 Adressen“.
- Diese Gruppe müssen sie noch erstellen. Eine Erläuterung finden Sie etwas weiter unten.
Anleitung als Video
Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenEigene-Regeln für VLAN-Netze erstellen
Jedes von ihnen erstellte Netzwerk ist ein VLAN. Dieses können Sie jetzt so einrichten wie es ihnen beliebt. Wir geben hier ein paar Beispiele, wie Sie Geräte per IP-Adresse, Mac-Adresse oder ganze Netzwerke freigeben.
Eigene Gruppen erstellen
Damit Sie nicht jedes einzelnen Gerät in der Firewall einzeln freigeben/blockieren müssen gibt es die Gruppen-Funktion in den Firewall-regeln. Hier lasse sich komplette IP-Bereiche oder mehrere IPs zu einer Gruppe zusammen fügen. Diese lassen sich dann in den Regeln der Firewall anwählen. So können Sie zum Beispiel Ihrem „LAN“ Netzwerk den Zugriff alle VLANs mit nur einer Firewall-Regel erlauben.
- Klicken Sie auf Routing und Firewall, oben wählen Sie Firewall und dann den Punkt Gruppen aus.
- Hier erstellen Sie eine neue Gruppe und nennen diese Beispielsweise „Alle IPv4 Adressen„.
- Tragen Sie dann bei Adresse folgendes ein:
192.168.0.0/16
- Dieser Bereich deckt alle IP-Adressen von 192.168.0.0 bis 192.168.254.254 ab und somit dann auch alle ihre VLAN-Netze. Natürlich immer Vorausgesetzt, dass Sie den Adressbereich vom Standard-Netz „LAN“ nicht geändert haben. Das können Sie nämlich auch. Hier wären dann Ip-Bereiche, wie zum Beispiel 10.0.0.0 oder 172.168.0.0 möglich. Wir gehen hier aber erstmal von der Standard-Konfiguration aus.
Gruppe für Netzwerke erstellen
Das gleiche können Sie auch für Ihre eigenen erstellten Netzwerke anlegen. Gehen wir mal von 4 verschiedenen Netzwerken aus mit folgenden IP-Bereichen. 192.168.100.1, 192.168.110.1, 192.168.120.1, 192.168.130.1. Sie sehen das sich jeweils nur der 3te Abschnitt der IP-Adresse ändert. Für gewöhnlich nehmen Sie diese dann auch als VLAN ID. Das erleichter die Sortierung, wenn Sie etliche Netzwerke einrichten. Ihre Netzwerke können Sie jetzt alle zu einer Gruppe hinzufügen oder für jedes eine eigene Gruppe anlegen.
Alle Anleitungen zu Netzwerk mit Ubiquiti
In der Artikel-Reihe „Netzwerk“ werden wir ihnen Schritt für Schritt zeigen, wie Sie ein Professionelles Heimnetzwerk für ein kleines Budget einrichten. Dazu verwenden wir diverse Komponenten von Ubiquiti aus der UniFi-Serie. Hier finden Sie alle weiterführenden Anleitungen zum Thema Netzwerk Technik mit Ubiquiti.
- Ubiquiti Netzwerk-Technik
- Ubiquiti als Alternative zu FritzBox, Speedport und Co. (LESEN)
- UniFi Netzwerkgeräte im Vergleich – Router, Switches, WLAN. (LESEN)
- Was ist PoE, passiv, PoE+, IN und OUT? (LESEN)
- UniFi OS und dessen Möglichkeiten. (LESEN)
- Einstellungen im UniFi OS erklärt. (LESEN)
- Dream Machine einrichten. (LESEN)
- Doppeltes NAT beim Heim-Netzwerk vermeiden. (LESEN)
- FritzBox – Internet-Port durchschleifen und als Modem nutzen. (LESEN)
- WLAN LAN VLAN Netzwerk einrichten. (LESEN)
- MAC-Adresse anzeigen lassen in Windows und iOS. (LESEN)
- Unifi OS Backup und automatisches Backup erstellen. (LESEN)
- UniFi OS – Feste IP für Geräte trotz DHCP. (LESEN)
- LAN-Ports Dream Machine / Switch einem Netzwerk zuweisen. (LESEN)
- Firewall Einstellungen Grundlagen erläutert. (LESEN)
- Firewall Grund-Regeln und Gruppen erstellen. (LESEN)
- Firewall – Eigene individuelle Regeln erstellen. (LESEN)
- Netzwerkkabel selber anfertigen mit Crimp-Werkzeug (LESEN)
Nützliche Links
Weitere Tipps und Tricks zu Hardware finden Sie hier.
Beitragsbildquelle: Foto IT Tweak
Hallo,
wozu benötige ich die 1. Grund-Regel überhaupt, wenn ich doch sowieso alles per Regel definbieren kann.
Die Regeln bauen alle aufeinander auf. Es ist auch nur ein Beispiel und muss nicht zwingend so umgesetzt werden. Das bleibt Ihnen selbst überlassen.