Blocken VLAN naar LAN

[ajseesink]

Ben pas sinds kort een Unifi bezitter, dus sorry voor mijn misschien domme vraag. k heb een firewall rule aangemaakt waarbij een VLAN geen toegang meer heeft tot het LAN.
Ik heb de stappen gevolgd zoals ook op de help pagina van Uniquity staat. https://help.ui.com/hc/en-us/articl...USG-Firewall-How-to-Disable-InterVLAN-Routing

Met source en destination heb ik aangegeven dat VLAN-IoT niet naar LAN mag. Dat werkt perfect! Geen klachten.
Echter waar ik achter kom is dat LAN ook geen toegang meer heeft tot VLAN-IoT. En die snap ik niet omdat ik denk source-destination gebruikt te hebben, maar blijkbaar werkt het twee kanten op. Of zie ik iets over het hoofd?

Ik heb een firewall rule aangemaakt waarbij VLAN-IoT geen toegang meer heeft tot het LAN.
Die ziet er als volgt uit: zie afbeeldingen.

Zoals je in de firewall rule ziet, verwacht ik dat van VLAN-IoT naar LAN alles geblokt wordt, maar andersom gewoon alles open staat.
Blijkt echter niet zo te zijn. Vanuit het LAN kan ik niet meer naar het VLAN-IoT, tenzij ik de rule uitzet.

Kan iemand mij uitleggen wat er mogelijk verkeerd gaat?

Andre

 

[Garfield]

Ik ben zelf helemaal geen firewall specialist, maar ik denk dat je nu al je verkeer van vlan naar lan blokkeert, dus ook het antwoord wat terugkomt uit het vlan als reactie op een vraag uit het lan. Als je eerst een regel aanmaakt wat related en established verkeer wel doorlaat van vlan naar lan, dan werkt het waarschijnlijk wel.

(of wacht op het antwoord van een deskundige)

 

[ajseesink]

Straks even uitproberen. Ik zal het resultaat posten. Dank je.

 

[ajseesink]

Ik ben zelf ook geen firewall specialist overigens. Net even een test gedaan.
Rule 1: Allow 1 IP adres uit VLAN-IoT naar 2 IP adressen in LAN (type LAN In)
Rule 2: drop all packages VLAN-IoT naar LAN. (type LAN In)

Werkt inderdaad wel. alles wordt geblockt behalve dat wat in rule 1 is toegestaan.

Wat ik alleen nog niet snap is dat dit tweeweg verkeer is wat toegelaten en/of geblockt wordt.
Vanwege de source en destination opgave zou ik eigenlijk verwachten dat het eenrichtingsverkeer is.

Mocht iemand dit kunnen uitleggen, dan hou ik mij aanbevolen.

 

[Garfield]

Probeer als regel 1 eens Allow all related and established van vlan naar lan, dan maak je het onafhankelijk van een specifiek ip adres.

o, ik zie dat je een Nederlandse vertaling aan hebt staan; Accepteer Alles met de status (bij geavanceerd) “Vastgesteld” en “ Gerelateerd” van je vlan naar je lan.

 

[ajseesink]

Dank je. Ik ga eerst even opzoeken wat dit precies is. Kan mij er wel een voorstelling van maken, maar pak toch weer (niet de eerste keer) de documentatie er bij.
High over snap ik wel (denk ik te snappen ?) hoe een firewall werkt. Ik probeer toch even de details/grammatica van de USG snappen.

Overigens dat Nederlands en Engels was mij niet eens opgevallen. Alles staat bij mij standaard in het Engels. Echter wanneer je switched van de nieuwe mode naar de classic mode, wordt ineens alles naar Nederlands vertaald. Was ook ook even zoet mee voordat ik dat door had.