Firewallregeln für TP-Link Omada

[djdf]

Hallo,

ich habe mich jetzt mit TP-Link Geräten versorgt. U.a. den ER605v2 als Router. VLANs etc. sind alle eingerichtet. Jetzt geht an die Firewall-Regeln. Die kann man dort ja im Controller auf Ebene des Gateways, Switches oder APs festlegen.
Was mich aber wunder, und wozu ich bisher nichts finde: Gibt es irgendwelche Default-Regeln? Oder muss ich bspw. eine generelle Block-Regel für Traffic von draußen anlegen?

Gruß

 

[nutrix]

Üblicherweise blocken alle Router mit deren Firewalls per Default alle fremden Zugriffe von außen. Du mußt alles, was nicht über http oder https und Default Ports geht, freischalten, damit Du damit von außen ins interne Netz kommst.

Du mußt bei Firewalls umgekehrt denken. Alles ist per se verboten, und Du mußt das, was Du haben willst, erlauben.

 

[Hammelkopp]

Moin,

ohne das System zu kennen hab ich hier etwas aus deren Forum gefunden:

https://community.tp-link.com/en/business/forum/topic/613656

Es gibt also eine Regel auf dem Wan Interface welches von innen initiierte Verbindung durch lässt. Würde mich auch wundern wenn es solche Regeln nicht per Default geben würde.

 

[djdf]

"Erwarten" würde ich es auch. Bei Ubiquiti sind sie wenigstens zu sehen (readonly) aber bei Omada ist alles leer, das lässt erstmal zweifeln.

Was ich auch nicht verstehe, auf Switch Ebene kann ich IPv6 Regeln anlegen, auf Gateway Ebene aber nicht (dort wäre es aber hilfreich, bspw für VPN über IPv6)

 

[nutrix]

Die meisten Router verwenden doch eh ein verkapptes oder für sie angepaßtes Linuxsystem. Als Firewall wird dann schnöde und banal iptables oder bei neueren Kernels ab 3.13 nftables. Der Hersteller baut darum etwas GUI und fertig ist der Router + Softwarefirewall.

 

[norKoeri]

auf Gateway Ebene aber nicht (dort wäre es aber hilfreich, bspw für VPN über IPv6)

Hast Du die neuste Firmware auf dem Gateway? Direkt über die Web-Oberfläche des Gateways geht das.

 

[djdf]

Ja, ist alles ganz aktuell. Ich hab mir jetzt das ganze Wochenende versaut, weil durch die stateless ACL die nur auf dem Switch funktionieren, ich nicht das gewünschte Setup hinbekomme. Ich packe den Kram jetzt ein, der geht komplett zurück.