Hardware Firewall

[JulianW98]

Ich habe mehrere Geräte die an einer Standleistung hängen und ihre eigene IP Adresse haben. Jetzt möchte ich die Ports der einzelnen Adresse beschränken.
Die IP Adressen liegen ungemanged und ohne dhcp server auf einem Switch. Die einzelnen Clients haben also eine Statische IP, die mir der Externen Identisch ist.

Jetzt benötigt es Hardware, um das ganze umzusetzen.
Ein Traum wäre: Lan Kabel vorne rein und hinten wieder raus und dazwischen erlaube ich nur meine Gewünschten Port.
Ich benötige das ganze für 6 Adressen. Zur Not gehen natürlich mehrere Geräte. Das ganze sollte auch nicht den Wert eines Kleinwagens haben, aber es darf was kosten.

Noch als kleine Ergänzung:
Es gibt dabei zwei Arten von Portfreigaben 3x mit mehreren Ports und 3x nur mit einem Port für die Web Oberfläche.
Grundsätzlich schon verfügbare Hardware:

• Netgear GS724T
• Unifi USG-Pro-4
• Unifi US-24

Viel Grüße und danke für die Hilfe!

 

[nitech]

Sollte doch schon mit dem USG-Pro funktionieren, dieser hat doch Firewallfunktionalität.
Wie hast du das Momentan Umgesetzt?
mfg

 

[Masamune2]

Naja das kann einfach jede Firewall die du auf dem Markt finden wirst, die Anforderungen sind dafür einfach zu Basic.
Ist die Frage ob du in dem Zuge die Sicherheit nicht auch etwas erhöhen willst, denn nur die Ports blocken könntest du auch wenn du auf den sechs Servern (?) die lokale Firewall nutzt.

Die Webseiten könnten z.B. über einen Reverse Proxy veröffentlicht werden der den Traffic auf bekannte Angriffsmuster und Schadsoftware scannt.
Könntest du etwas mehr Infos liefern was für Dienste hier genau erreichbar sind?

 

[Eagle_B5]

Deine USG bietet bereits alles was benötigt wird. Siehe https://help.ui.com/hc/en-us/articles/115003173168-UniFi-Gateways-Introduction-to-Firewall-Rules und https://help.ui.com/hc/en-us/articles/235723207-UniFi-Network-Configuring-Port-Forwarding.

 

[JulianW98]

Die Herausforderung ist, dass die USG ein Nat aufbaut und damit nur noch eine IP der öffentlichen Verfügbar ist. Ich möchte aber ja mindestens 6 Öffentliche IPs auf die Server Routen.
Es handelt sich dabei um Dell Server und wir möchten die Interne Firewall bewusst nicht nutzen, da sie durch großflächige Angriffe womöglich nutzlos wird.

 

[Masamune2]

Die USG kann nicht routen ohne zu natten? Ich kenne die Geräte jetzt nicht so in der Tiefe aber das kann ich mir kaum vorstellen.
Du musst halt eine Schnittstelle anlegen an der eine der öffentlichen IPs konfiguriert wird. Die Server kommen dann an die selbe Schnittstelle (das selbe VLAN) und nutzen die USG als Gateway.
Dann hast du in der USG normal die Möglichkeit Firewallregeln zu definieren.

die Interne Firewall bewusst nicht nutzen, da sie durch großflächige Angriffe womöglich nutzlos wird.

Was sind denn großflächige Angriffe? Nimms nicht persönlich aber hast du überhaupt eine Ahnung was genau an so einem Server angegriffen werden kann? Kannst du mir konkret sagen was die vorgeschaltete Firewall hier besser machen kann als die lokalen Firewalls?

Es handelt sich dabei um Dell Server

Der Hersteller ist doch wurscht (die Farbe übrigens auch), ich wollte wissen was darauf läuft.

Du hast das zwar im Heimnetzwerke Forum gepostet aber ich denke mit einem Heimnetz hat diese Umgebung nicht mehr viel zu tun. Da dein Know-How wohl nicht ausreicht so etwas sicher zu betreiben solltest du dir ernsthaft überlegen da jemanden dazu zu holen der so etwas beruflich macht.

 

[Bob.Dig]

die an einer Standleistung hängen

Sollte wohl Standheizung heißen.

 

[Raijin]

Die USG kann nicht routen ohne zu natten?

Leider sind die NAT-Funktionen bei Unifi sehr eingeschränkt bzw. teilweise auch nicht änderbar. So lässt sich beispielsweise NAT am WAN nicht konfigurieren oder gar deaktivieren (zB als nachgelagerter Router).
Mehrere WAN-IPs sind soweit ich weiß nicht vorgesehen, werden aber schon seit Jahren von der Community gewünscht. Ubiquiti ist aber nicht gerade dafür bekannt, solchen Forderungen nachzugeben. Einige Feature Requests gibt es schon seit etlichen Jahren.......

Einige Dinge kann man über direkte Eingriffe in die json-Dateien richten, aber diese Änderungen gehen nach der nächsten Provisionierung durch den Controller verloren. Wirklich praktikabel ist das daher nicht, es sei denn man macht keine Updates oder ändert die json j e d e s Mal aufs Neue.

Das ist einer der Gründe warum ich die Unifi-Router nicht mag, weil sie am Ende eben doch ziemlich unflexibel sind. Mit den EdgeRoutern, also der Schwesterserie ohne Unifi-Anbindung, ist hingegen alles möglich, weshalb ich auch (von Ubiquiti) ausschließlich die EdgeRouter einsetze.


@JulianW98 : Du wirst das wohl entweder mit einer einzigen WAN-IP und einem Proxy lösen müssen oder du schmeißt das USG raus und nimmst stattdessen einen fortgeschrittenen Router bzw. Hardware-Firewall wie pfSense/OPNsense, o.ä.

 

[Hammelkoppter]

Kann meinem Vorposter leider nur zustimmen. Es gibt einige Funktionen die auf der Wunschliste vieler aus der Community stehen aber seit langer Zeit unbeantwortet/unbearbeitet sind. Für Soho mag Ubiquiti brauchbar sein, alles was darüber hinaus geht sieht sich besser nach einem anderen Hersteller um.

 

[WhiteHelix]

Einige Dinge kann man über direkte Eingriffe in die json-Dateien richten, aber diese Änderungen gehen nach der nächsten Provisionierung durch den Controller verloren.

Die lässt sich ja afaik auch irgendwie mit provisionieren? Ich hab damit zwar auch mal ne Zeit lan rumgespielt, habs aber dann recht schnell aufgegeben und bin auf ne pfSense gewechselt.