VLAN-Regel Verständnisfrage

[pointde]

Hallo! Ich hoffe die Frage klingt nicht blöd.
Ich habe mehrere VLAN´s eingerichtet. 100,101,102,103,104,105,106,200.
Nun möchte ich dass das VLAN104-Netzwerk ins Internet nur bestimmte Ports durch lässt.
Verstehe ich das dann richtig, dass ich vorher für jedes andere VLAN, ausser104 zuerst eine Deny-Regel machen muss, damit ich darunter eine Allow mit den jeweiligen Ports machen kann. (Sonst würden ja die Geräte in 104 auf die anderen VLAN zugreifen können...)
Dann müsste ich diese Deny-Regeln auf allen VLAN´s machen.
Gibt es da eine andere Lösung? Ich kenne es z. B. nur von Securepoint, dass hier einfach als Device "Internet" gewählt werden kann...

[superwinni2]

Hast du jeden VLAN als einzelnes interface hinzugefügt?
Standardmäßig ist immer eine eine "deny any" Regel an Ende jedes interfaces in der FW.
Somit brauchst du nur die Ports freigeben, jene ins Internet sollen, der Rest wird so oder so dann blockiert.

PS. Anstatt internet Zugriff wurde ich einen alias mit RFC1918 definieren und dann sagen "VLAN104 darf zu nicht RFC1918" dann ist das mit dem Internet erstmal erledigt.

Gesendet von meinem LG-H815 mit Tapatalk

[pointde]

Ja, die VLANS sind als einzelnes Interface definiert (falls wir da nicht aneinander vorbei reden. Vorsichtshalber hänge ich einen Screenshot an).
Was muss in dem RFC1918 alles drin stehen? Ich nehme an die Netzwerke z. B. 192.168.100.0. Stimmt das so?
Eine deny-any Regel ist bei mir unter den Regeln nicht standardmässig da. Wenn ich die anlege, dann so wie in meinem 2. Screenshot? Danke im Voraus

[superwinni2]

Okay
Die VLANs selbst als einzelnes interface ist schonmals sehr gut :)

Die deny all Regel siehst du nicht, sie ist aber da... Wenn du sie sehen willst, kannst dir ganz unten auch einfach eine hin machen. Ist theoretisch unnötig aber verschlimmert auch nichts. (hat du ja nun eben gemacht)
Deine Regel greift aktuell nur für IPv4. Für IPv6 musst du eine separate einstellen.
Wenn nun ein Client aus dem VLAN104 ins Internet möchte, so landet er ja in der Firewall auch auf dem Interface VLAN104. Hier werden dann die Regeln durchgegangen bis eben etwas erlaubt oder verboten wird. Reihenfolge von oben nach unten.

RFC1918 ist eine "Richtlinie" in welcher die privat zu nutzenden Netze drin stehen:
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16

Gesendet von meinem LG-H815 mit Tapatalk

[pointde]

Habe den Alias angelegt.
Wenn ich aber jetzt in den Regeln des VLAN 104 eine erstelle mit VLAN104 darf nicht zu RFC1918 hätte ich zwei Fragen. Wenn da im Alias (ich will den ja überall verwenden) 104 auch selber drin steht, sperre ich mich dann aus?
Falls das dann doch so passen sollste, kann ich dann darunter eine Regel einfügen die alles erlaubt? Hintergrund ist der, dass die Auerswald Telefonanlage trotz bestimmter Ports einfach nicht rund läuft. Ich müsste alles ins Internet freigeben..

[superwinni2]

Genau
Aber wenn du nur deine einzelnen Netze rein machst, dann würde ich den alias anderst nennen ("eigene Netzwerke" oder Sowas)

Ich glaube du verstehst die Regel falsch herum...
Vorrausgesetzt, du machst in den Alias "Eigene Netzwerke" wirklich alle deine Netzwerke hinein. Somit auch das von VLAN104 und erstelltst folgende Regel:

Quelle: VLAN104
Quelle Port: any
Negate destination: Haken gesetzt
Ziel: Alias "Eigene Netzwerke"
Ziel Port: any

Dann dürfen die Geräte (in deinem Fall die Telefonanlage) zum Beispiel zur IP 1.1.1.1 kommunizieren um beispielsweise einen DNS Eintrag abzurufen.
Diese darf nun allerdings nicht zur Firewall oder oder zu anderen deiner Netzwerke, da diese ja zum Alias "Eigene Netzwerke" gehören.
Wenn du das gewähren möchtest, musst du eine zulassen Regel (Standart mäßig wird ja  alles blockiert) erstellen welche es erlaubt die Netzwerke oder Adressen zu erreichen. Ob diese vor oder danach kommt ist ja egal, die oben erstelle Regel greift ja nicht, da die Bedingung Ziel nicht erfüllt wird.

Gesendet von meinem LG-H815 mit Tapatalk

[pointde]

Ok, dann mache ich es so:
Einen Alias mit allen Netzwerken erstellen.
Im z. B. VLAN 104 eine Regel mit: deny-->alles von VLAN104 zum Alias
eine allow-->VLAN 104 zu VLAN104
Darunter eine mit allow alles, überall.

Damit hebe ich ja wieder alles auf, oder ?! ...confused...
Da ja der Auerswald-Alias mit den Ports nicht funktioniert, muss das VLAN104 ungehindert komplett ins Internet aber sonst nirgendwo hin können. Geht das so wie oben beschrieben?

[stefanpf]

Es steht zwar eigentlich schon alles geschrieben, aber ich versuchen es Mal abstrakter:
Eigentlich ist das ganz einfach, wenn man das logische angeht.
Da im Regelfall der erste Treffer gewinnt musst du deine Allow Regeln wie folgt um die Deny Regel basteln

Erlaube hier eventuell gezielt auf Dienste in anderen VLANs

Verbiete Vlan zu andere VLANs

Erlaube hier gezielt oder pauschal Internetzugriff

Alles was es bis hier geschaft hat ist verboten.
_--------
Mit der oben vorgeschlagenen negierten Variante ist das etwas sauberer, wird aber eventuell komplizierter wenn du gezielt einzelne Dienste /Hosts im Internet freigeben möchtest.

[superwinni2]

Nenenenene  ;D

Du brauchst keine Deny! Es wird so oder so alles Blockiert (denied)!
Und was ich mit negate destionation meine, heißt bei meiner englischen Firewall "Destionation / Invert".

Deine Logik stimmt, mit dem "Erlaube alles nach überall" wird die Regel drüber unnötig.

Nochmals zu folgender Regel:

Code Select Expand

Quelle: VLAN104  Netzwerke
Quelle Port: any
Negate destination (Destination / Invert): Haken gesetzt
Ziel: Alias "Eigene Netzwerke"
Ziel Port: any
Diese macht auf gut deutsch folgendes: Lasse alles von VLAN104 zu wenn es nicht zu den im Alias "Eigene Netzwerke" angegeben Adressen möchte.
Man beachte das nicht in dem Satz. Dieser ist das "Destination / Invert".


Für eine "Allow alles" regel, brauchst nicht wirklich ne Firewall... Da macht es dann auch schon mehr oder weniger ein Router... ;D

[banym]

Eine Deny Regel wird nur dann nötig, wenn du eine Allow Regel mit dem Ziel ANY definierst.

Das ist nichts besonderes denn es tut halt genau das was da steht, wenn du ALLOW auf ANY machst, dann ist halt alles nach überall erlaubt. Oder das was du halt erlaubst, also auch in deine anderen lokale Netze.

Wenn Du so eine Regel für Internetzugriff brauchst, dann musst du es mit einer DENY oder BLOCK Regel vor dieser ANY Regel einschränken. Was dann in der Deny Regel als Ziel und Dienst steht wird dann entsprechend nicht erlaubt sondern verboten. Wenn vor der ALLOW/ANY Regel keine Einschränkung steht, dann zieht halt die ALLOW und du kommst überall hin.