Firewall Regeln Best Practice oder Änderungsbedarf

Started by Syosse, July 24, 2023, 10:54:54 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
July 24, 2023, 10:54:54 AM
Hallo Zusammen :)

Ich bin gerade bei den Regeln am verzweifeln.

Ich habe mehrere VLANS : MGMT, VOIP, Client, DC, Guest und DMZ.

MGMT ist bsp. erlaubt in alle VLANs zu kommunizieren.

Ist dies so korrekt oder gibt es noch eine einfachere Regel ?




Client ist bsp. erlaubt in VOIP, DC und ins Internet zu kommunizieren.

Soll ich hier Regeln erstellen die es erlaubt in beiden VLANS zu kommunizieren und wie mach ich dann noch eine Regel für Internet (WAN), wenn ich dort eine Regel erstelle Allow to Any Rule, dann kann es ja wiederum in alle VLANs kommunizieren ?



Vielen herzlichen Dank
Gruss Syosse

July 24, 2023, 10:57:26 AM #1
Quote from: Syosse on July 24, 2023, 10:54:54 AM
Soll ich hier Regeln erstellen die es erlaubt in beiden VLANS zu kommunizieren und wie mach ich dann noch eine Regel für Internet (WAN), wenn ich dort eine Regel erstelle Allow to Any Rule, dann kann es ja wiederum in alle VLANs kommunizieren ?
Du baust zuerst eine Regel, die verbietet, wohin nicht kommuniziert werden darf, und danach die "allow all" Regel für das Internet.

Oder du machst einen Alias vom Typ Group, der alle Netze enthält, die verboten sind, und benutzt in der "allow" Regel ein "destination invert". Also "alles außer X ist erlaubt".
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
July 24, 2023, 11:03:53 AM #2
Quote from: Patrick M. Hausen on July 24, 2023, 10:57:26 AM
Quote from: Syosse on July 24, 2023, 10:54:54 AM
Soll ich hier Regeln erstellen die es erlaubt in beiden VLANS zu kommunizieren und wie mach ich dann noch eine Regel für Internet (WAN), wenn ich dort eine Regel erstelle Allow to Any Rule, dann kann es ja wiederum in alle VLANs kommunizieren ?
Du baust zuerst eine Regel, die verbietet, wohin nicht kommuniziert werden darf, und danach die "allow all" Regel für das Internet.

Oder du machst einen Alias vom Typ Group, der alle Netze enthält, die verboten sind, und benutzt in der "allow" Regel ein "destination invert". Also "alles außer X ist erlaubt".

Super Vielen Dank, werde es gleich versuchen und hier ein Feedback hinterlassen.
July 25, 2023, 08:20:37 AM #3
Quote from: Syosse on July 24, 2023, 11:03:53 AM
Quote from: Patrick M. Hausen on July 24, 2023, 10:57:26 AM
Quote from: Syosse on July 24, 2023, 10:54:54 AM
Soll ich hier Regeln erstellen die es erlaubt in beiden VLANS zu kommunizieren und wie mach ich dann noch eine Regel für Internet (WAN), wenn ich dort eine Regel erstelle Allow to Any Rule, dann kann es ja wiederum in alle VLANs kommunizieren ?
Du baust zuerst eine Regel, die verbietet, wohin nicht kommuniziert werden darf, und danach die "allow all" Regel für das Internet.

Oder du machst einen Alias vom Typ Group, der alle Netze enthält, die verboten sind, und benutzt in der "allow" Regel ein "destination invert". Also "alles außer X ist erlaubt".

Super Vielen Dank, werde es gleich versuchen und hier ein Feedback hinterlassen.

Hatt einweindfrei geklappt. Habe die 2 Variante erstellt mit Alias und Gruppen damit es weniger Regeln gibt und übersichtlicher ist.

Vielen herzlichen Dank

Print
Go Up Pages1
User actions