Firewall Konfiguration (Unifi), Was ist mit Ip Adressen über 193.xx ?

[Willibaldgamer]

Ich nutze seit einiger Zeit diverse Netzwerktechnik von Unifi, bis jetzt läuft die Firewall mit den default Einstellungen.
Mit dem Rest kenn ich mich mittlerweile relativ gut aus, mit den Firewall regeln allerdings noch nicht ganz so gut.

Frage1: Gleich die erste Regel in der Firewall ist Drop, all WAN in Traffic, IP Block 23.213.164.103 to 192.168.0.1
Dies bedeutet doch das er keinen nicht angeforderten Traffic aus diesem Bereich durchlassen soll, oder? Was ist dann mit Bereichen davor oder danach?
Weil ich bin heute mal durch Zufall auf meinem Handy auf Wie ist meine IP gegangen und draufgekommen, dass ich die IP 213.225.7.xxx habe. Diese IP wäre doch durch die obere Regel nicht erfasst?!
Bedeutet dies, dass jeder der so eine genannte IP hat einfach von außen reinkommen könnte?

Frage2: Ich bin wie gesagt noch relativ neu damit und hab etwas bedenken Sicherheitslücken rein zu machen :/
Fallen euch (siehe Screenshot) da irgendwelche problematischen Punkte auf?

Danke für alle Hilfe/Ratschläge/Meinungen zu meiner Config

Kurz zu meinem Netzwerk:
Ich benutze ausschließlich IPv4, kein IPv6
Ich habe vier V-Lans:
-Hauptlan 192.168.0.0/22
-Camera: 192.168.30.0/24
-VPN: 192.168.40.0/24
-Guest: 192.168.50.0/24

 

[BlubbsDE]

Die 213.225.7.xxx ist Deine Internet IP. Da kannst Du nichts konfigurieren. Dein Handy hat auch eine Heimnetz IP.

 

[Willibaldgamer]

Die 213.225.7.xxx ist Deine Internet IP. Da kannst Du nichts konfigurieren. Dein Handy hat auch eine Heimnetz IP.

Das ist mir klar das die 213.xxx die Public IP meines Handys ist und das mir die vom ISP zugewiesen wird auch. Hab das nur als Beispiel gemeint ob jemand mit so einer IP von außen auf mein Heimnetz kommt, weil diese IP Bereiche anscheinend nicht von der Firewall gedeckt sind

 

[d2boxSteve]

Alles nicht genannte wird in jeder Firewall automatisch geblockt.
Die Regel-Liste wird immer von oben nach unten durchgegangen und wenn eine Zeile zutrifft dann wird diese Aktion gemacht und danach abgebrochen.
Wenn also keine Regel zutrifft steht immer ganz unten der sogenannte "default deny", also das Paket wird verworfen.
Brauchst da also keine Angst haben.

 

[Nilson]

Note that there is also a default firewall rule for each network type. In the case of WAN In and WAN Local, the default action is drop. The default rule is not shown in the Controller UI.

https://help.ui.com/hc/en-us/articles/115003173168-UniFi-UDM-USG-Introduction-to-Firewall-Rules
Alles was nicht explizit erlaubt ist, wird fallen gelassen
Edit: @d2boxSteve war schneller

 

[Twostone]

Bei Firewall-Regeln gilt: First Come, First Served. Eine "Block all" Regel sollte stets die letzte Regel sein, aber auch stets vorhanden und ohne Einschränkungen.
Bei den meisten sog. "Hardware"-Firewalls (eigentlich nur dedizierte Rechnerchen mit passendem OS, auch hier ist die Firewall ein Stück Software) ist dies auch das Standardverhalten, zur Übersicht und Sicherheit pflege ich jedoch diese Regel stets mit ein. So kann ich auch das logging nach Bedarf anpassen.

Willst Du jetzt z.B. den Bereich von x.x.x.100 - x.x.x.150 sperren, aber die x.x.x.125 generell freigeben, ist die Reihenfolge: Erst die Freigabe, dann die Sperre. Denn die erste, zutreffende Regel wird auch angewendet. Für Ports, Verbindungszustände, etc. gilt das Gleiche.

Und immer: Nur "freischalten", was Du auch wirklich benötigst. Wobei es sich halt schon empfiehlt, HTTP, HTTPS, DNS und IMAP, SMTP, ggf. NTP generell durchzulassen.

 

[Eagle_B5]

Bei UniFi und auch fast allen anderen Firewalls für den Semi-Professionellen gebrauch sind die Default Regeln:

• Von Aussen nach Innen, alles blockiert
• Von Innen nach Aussen, alles erlaubt

wenn man das geändert haben möchte, siehe Link von Nilson.

 

[RalphS]

Die Regel 2000, Wan Out & Wan In, sind nonsense

Natürlich Blödsinn. Das sind Assertion Rules welche sicherstellen daß nix Spoofed reinkommt oder rausgeht. Dasselbe gilt für source / destination = 127.0.0.0/8 an einem Interface ungleich loopback.


PS. Default rules sind zwar üblich, aber nicht inhärent und schon gar nicht default-to-deny.
Sowas legt man am besten selber an an allerletzter Stelle in der Liste.
Default-to-accept ist genauso möglich, wenn man das will.

 

[Eagle_B5]

Danke, wusste ich nicht. @RalphS

 

[Raijin]

Ein gängiges Ruleset für WAN_IN sähe zB so aus:

1 DROP bogon (*)
2 DROP invalid
3 ACCEPT established/related
4 ACCEPT Quell-IP X
5 ACCEPT PortweiterleitungY
6 ACCEPT PortweiterleitungZ
7 DROP all

(*) bogon beinhaltet allerlei "falsche" Quellen, wie beispielsweise lokale Subnetze, die es im www nicht gibt oder die aus anderen Gründen als nicht korrekt eingestuft werden. Entsprechende Pakete werden zum Teil auch als martian packets bezeichnet.

Die Reihenfolge der Regeln ist dabei primär der Performance geschuldet. Pakete, die sofort als fehlerhaft oder potentiell eben schädlich eingestuft werden, blocken Regel 1 und 2 sofort weg. Regel 3 ist ein Shortcut für bereits hergestellte Verbindungen, die nicht mehr nöher überprüft werden müssen, und ab Regel 4 gehen die Ausnahmen los, beispielsweise für eine immer vertrauenswürdige Quelle (zB feste IP der Firma) oder explizit eingerichtete Portweiterleitungen. Alles was nicht durch 1-3 abgefangen und keine der Ausnahmen aus 4-6 triggert, wird ganz am Ende pauschal geblockt.

Bei Unifi oder anderen Firewallsystemen, auch etwaigen Frontends von iptables unter Linux, sind diese Regeln nicht immer sichtbar, weil sie teilweise in separaten Chains weggekapselt sind. Sie werden in der GUI teilweise ausgeblendet, sind aber im System vorhanden - zumindest wenn die Firewall mittels Wizard erstellt wurde.