UniFi brannmurregler - hvorfor blokker en "LAN in"-regel for trafikk fra VLAN til WAN/Internett?

[Anterialis]

Hei,

amatør som prøver å lære..

Jeg har et UniFi-nettverk hjemme, og har forsøkt lese meg opp på hvordan brannmuren fungerer og hvordan den skal settes opp. Jeg har fire subnets/VLANs.

Jeg har satt opp noen brannmurregler hvor tanken er å hindre trafikk fra ikke-native VLANs til det native VLANet. På den måten tenker jeg at det native VLANet er tryggest mulig. Trafikk fra native VLAN skal kunne gå til alle VLANs, samt established/related trafikk fra ikke-native VLANs skal kunne gå tilbake til native VLAN. 

Videre har jeg en del IoTs, bl.a. alarm, Yale Doorman og lysstyringssystem (Plejd) mv. som er tilkoblet native VLAN. Under brannmurreglene for "LAN in" har jeg tillatt established og related trafikk fra ikke-native VLANs --> native VLAN, og til slutt en "dropp all" regel. Denne ønsker jeg at skal droppe all trafikk fra ikke-native VLANs --> native VLAN som ikke er tillatt av reglene før (altså established/related). Tanken er altså at om noen kommer seg inn på et ikke-nativt VLAN, så skal de ikke komme seg videre til native VLAN hvor jeg har intime nettverksprodukter (alarm, mv.). Av en eller annen grunn som jeg ikke forstår mister mine IoTs (Yale Doorman, Homely alarm, Plejd) tilgang til skyen sin - og jeg mister tilgang til dem via respektive iPhone-apper - dersom jeg har denne "drop all" regelen aktivert på LAN in. Deaktiverer jeg regelen, fungerer alt som det skal. Det er jo en "dropp all" regel nederst på "WAN in"-brannmursiden som er aktiv når alt fungerer... Det er kun denne drop all-regelen på LAN in som forstyrrer ting...

Jeg trodde "LAN in"-regler kun regulerte trafikk mellom nettverk/VLANs, ikke mellom VLANs og internett (dette gjøres vel på "Internett/WAN inn" eller "Internett/WAN ut"?). Hvorfor droppes trafikk fra mitt native VLAN (Bryggeriet) --> WAN/internett dersom jeg aktiverer en "LAN in" regel? Hva er det jeg ikke forstår?

 

Øverste linje: allow est./rel., vlan1 --> native vlan. Linje2: vlan2 --> native vlan. Linje 3 --> native vlan. vlan3.
Jeg må deaktivere "Dropp all, any --> any" for at Yale Doorman, Homely alarmen og Plejd systemet skal få tilgang til skyen og jeg får tilgang til gatewayene i appene på min iPhone..

Selve regelen som skaper hodebry.Dette er på "LAN in". 

 

Det er helt sikket en enkel forklaring, gleder meg til å forstå dette... Irriterende..  

EDIT: Er det så grunnleggende at en "LAN in" regel blokkerer all trafikk som vil inn på et LAN-nettverk, også fra WAN? I så fall forstår jeg det jo, men trodde "LAN-in"-regler kun gjaldt mellom LAN-interfaces, ikke mellom WAN - LAN...

 

Endret 27. mars 2022 av Anterialis

[voident]

Mulig det jeg blander pga forskjellig terminologi i Unifi vs. EdgeRouter, men skal ikke denne drop-all regelen din ha IoT VLAN som source? 

I mine brannmurregler i EdgeRouter har jeg valgt IoT VLAN som "interface", og under IoT IN er siste regelen å droppe alle pakker til alle RFC1918-adresser. Jeg -tror- dette vil være tilsvarende at du i ditt LAN IN velger source "IoT VLAN", men er litt usikker siden det virker som at man i Unifi-grensesnittet definerer alt under LAN IN/LOCAL/OUT, mens man i EdgeRouter gjerne lager et sett med regler under hvert VLAN/interface.

[Anterialis]

voident skrev (9 minutter siden):

men skal ikke denne drop-all regelen din ha IoT VLAN som source? 

I mitt hode ønsker jeg jo bare å droppe all trafikk mellom VLAN-ene, uavhengig av hvor de kommer fra, med mindre tidligere regler tillater slik trafikk. Derfor har jeg tenkt det er like greit å lage en slik regel (drop all, any vlan --> any vlan), i stedet for å lage flere regler med e.g. "drop IoT --> Bryggeriet" og "drop Servers --> Bryggeriet" med videre... Tar ikke regelen jeg har laget med seg alle slike scenarier?

EDIT: Det jeg heller ikke forstår er at jeg jo har en "drop all" brannmurregel på "WAN in". Yale Doorman appen (f.eks.) fungerer jo fint med denne aktiv, men appen får ikke kontakt om jeg aktiverer en "drop all" regel på LAN in... Yale Doorman bridge er jo på kun ett VLAN, og snakker vel direkte med skyen derfra, den går jo ikke innom andre VLANs... :S 

Endret 27. mars 2022 av Anterialis

[St. Anders]

LAN-IN betyr trafikk fra enhet på LAN til routeren for videre behandling.

Altså:
Fra VLAN til VLAN

Fra VLAN til WAN (Internett)

edit:

Ja det enkleste er å lage flere regler, men kan evt lage en med "ip group" også bare legge inn subnett om du benytter forskjellige 192.168.0.0/24 nett el kan du bare ta 192.168.0.0/16 så dekker du alle (fra 192.168.0.0-192.168.255.255).

Men da må du som du selv viser ha tillatt reglene først om noen trafikk skal få bestå. Som trafikk initiert fra de andre nettene.
 

Endret 27. mars 2022 av St. Anders

[Anterialis]

Så "LAN IN" dekker (V)LAN --> WAN også, ikke kun inn på et (V)LAN? 

Jeg har forstått det sånn at enhet som allerede er på (V)LAN, og som skal til WAN, ikke dekkes av LAN IN, kun LAN UT og deretter WAN UT. Dette er altså feil? Hvordan har det seg at trafikk som starter i et LAN og som skal ut av LANet og e.g. inn på et annet interface som ikke er LAN (eg. WAN), allikevel dekkes av LAN IN? 

Det er flott om jeg tar feil, da lærer jeg noe nytt!

 

EDIT: Hmm, leser meg opp samtidig som jeg venter på svar her.
Er cluet for å forstå dette, å tenke på brannmuren/ruteren som sentralen, og "IN" betyr egentlig "inn til brannmuren/ruteren"? Så LAN IN blir altså fra LAN og INN i ruteren (før trafikken entrer ruteren), til et annet interface (e.g. annet LAN eller ut på WAN)?

Og LAN UT blir da også fra LAN og til et annet sted, men når trafikken forlater ruteren?

 

Endret 27. mars 2022 av Anterialis

[voident]

IN betyr inn til ruteren, ja. Ellers ser jeg ingen vei utenom å enten lage en gruppe slik som @St. Anders nevner og lage de reglene du ønsker som skal gjelde den gruppen eller lage regler for hvert enkelt VLAN. Det er fordeler og ulemper med begge deler.

[Anterialis]

Takk. Da har jeg laget en gruppe hvor jeg har samlet alle "non-native VLANs", og opprettet en regel som tillater established/related fra denne gruppen til native VLAN, samt dropper alt annet fra non-native VLANs --> native VLAN. 

Jeg slettet regelen i "LAN IN" som sa "dropp alt fra alle til alle", da vel svaret ligger i det dere skriver; at en slik regel jo vil droppe all trafikk (e.g. fra min Yale Doorman) som vil ut på internettet og opp i skyen...

[St. Anders]

Ja stemmer for det meste det du skriver, men LAN-OUT er fra router til LAN. 
WAN-OUT er fra router til Internett. 
WAN-IN er fra Internett til router. 

eks om du vil blokkere noe, er det ofte en fordel å blokkere på IN regel fra enheten/nett som skal «hindres»/«tillates» og kontakte

Andre ganger kan det være ting som taler for å sperre på OUT, om du har veldig mange VLAN og Interface som skal få sende trafikk mellom seg, så for å slippe å ha regel på hvert sted kan du kjøre på WAN-OUT. 

Native VLAN pleier ofte å være samme som VLAN1 bare til info, men mulig du kan sette en annen verdi, har ikke sjekket det.

Men altså du begrenser enklest med å sette source til det nettverksnavn(LAN) som ikke skal få sende trafikk. 
også destination er dit trafikk ikke skal kunne sendes i ditt tilfellet «native vlan». 
om en regel settes på «any» betyr det alt som det ikke er en regel på fra før, når regelen er legg til etter eksisterende. Være seg avsender eller destinasjon. 

[Anterialis]

St. Anders skrev (6 timer siden):

Native VLAN pleier ofte å være samme som VLAN1

Takk!

St. Anders skrev (6 timer siden):

om en regel settes på «any» betyr det alt som det ikke er en regel på fra før, når regelen er legg til etter eksisterende. Være seg avsender eller destinasjon. 

Takk. Da er det som skrevet vel derfor denne regelen jeg laget (LAN in: Deny all, any —> any) blokkerte skytjenestene til Yale og Plejd mv, trafikk fra LAN fikk ikke komme inn til ruteren og videre til WAN.. Takk for gode forklaringer 😃