Firewall regels snel / massaal aanpassen

joostman

UniFier
3 aug 2022
20
5
3
Ik heb door de tijd heen veel losse IP adressen geblokkeerd in de firewall. Later kwam ik er achter dat je in plaats van een enkel IP beter een range kan blokkeren.
Op dit moment heb ik een waslijst van IP adressen dubbel geblokkeerd (enkel en via range) staan. Om het netjes te houden wil ik de losse regels verwijderen.
Dat kan in de GUI, door voor elke regel een Delete en Confirm te klikken. Aangezien ik 2000 regels heb zoek ik een andere manier.
Is dit mogelijk via commandline en is het huidige overzicht te exporteren of te benaderen via commandline om hier ook patronen (ranges) uit te kunnen halen?
 
Nee, er is geen makkelijke weg. Tenzij je in de Mongo database van de controller gaat rommelen. Maar daar zijn al veel mensen mee op de koffie gekomen...

Nog even terzijde: Waarom blokkeer je al die IP adressen? Dat doet IPS al voor je. Al die IP's van threats blokkeren in de firewall voegt niet echt wat toe. Temeer omdat, als de IP door threat management wordt gemeld en geblokt, het verkeer al niet eens meer bij de interne firewall aankomt.
 
Jammer! Toch een gemist iets van Unifi/Ubiquiti?!

De reden van blokkeren is omdat ik soms zie dat bepaalde adressen alle mogelijke aanvallen uit de kast halen om binnen te komen. De IPS zal en doet het blokkeren van die aanvallen, maar ik niets zelf doe en de 101ste aanval wel binnenkomt heeft die persoon toch zijn doel bereikt. Door te blokkeren kan hij ook nooit meer een willekeurige aanval inzetten, wat mij veiliger lijkt dan "probeer maar zoveel je wilt, ik vertrouw volledig dat ik geen gaten heb en mijn IPS alles afvangt"?
 
Tip: Definieer een groep met de IP adressen die je wilt blokkeren en gebruik die groep in één firewall regel waarin je alle IP adressen in de groep blokkeert.
Een firewall regel per IP is niet echt de efficiëntste manier.
 
  • Leuk
Waarderingen: dbw
Jammer! Toch een gemist iets van Unifi/Ubiquiti?!

De reden van blokkeren is omdat ik soms zie dat bepaalde adressen alle mogelijke aanvallen uit de kast halen om binnen te komen. De IPS zal en doet het blokkeren van die aanvallen, maar ik niets zelf doe en de 101ste aanval wel binnenkomt heeft die persoon toch zijn doel bereikt. Door te blokkeren kan hij ook nooit meer een willekeurige aanval inzetten, wat mij veiliger lijkt dan "probeer maar zoveel je wilt, ik vertrouw volledig dat ik geen gaten heb en mijn IPS alles afvangt"?

Het probleem is dat je er een dag (en nacht) taak aan gaat hebben om alle ip adressen handmatig toe te voegen die onderdeel uitmaken van een zombie netwerk, gehackte servers of chinese camera’s. Het toevoegen van lijsten of ip reeksen is in dat opzicht ook geen oplossing.

Denk dat je gewoon vertrouwen moet hebben in het product IPS/IDSvan Suricata en dit wordt echt door verschillende grote vendoren gebruikt (en verkocht voor veel geld)
 
Laatst bewerkt:
  • Leuk
Waarderingen: Eddie the Eagle
@uHofstede; Kun je uitleggen hoe je een "groep met IP adressen die je wilt blokkeren kan aanmaken, met één firewall regel waarin je alle IP adressen in de groep blokkeert"? Ik kan op het web jammer genoeg geen eenvoudige procedure vinden.
 
Dit kan vrij eenvoudig door (vanaf de legacy interface gezien)
een groep aan te maken met een voor jou logische naam, ik heb hieronder een groep B adressen (maar ook een andere groep B adressen met X.Y.Z.0/24)

Scherm-afbeelding-2023-02-01-om-20-53-23.png


Vervolgens in je Firewall bij de IN een nieuwe regel toe te voegen
Scherm-afbeelding-2023-02-01-om-20-53-55.png

Vervolgens in je Firewall bij de UIT een nieuwe regel toe te voegen
Scherm-afbeelding-2023-02-01-om-20-54-09.png


Met deze inhoud inkomend:
Scherm-afbeelding-2023-02-01-om-21-04-24.png


Uitgaand
Scherm-afbeelding-2023-02-01-om-21-05-57.png


Maar... Ik las in een andere thread waarin ik een vraag stelde dat als je de IPS aan hebt staan, de blokkering daarvan eerder is dan de firewall rules. https://unifi-forum.nl/onderwerpen/ips-en-ids-vragen.4358/
 
@joostman; dankjewel voor je uitgebreide response! Ik heb de bovenstaande setting toegepast op bijvoorbeeld www.facebook.com, www.twitter.com en www.beltegoed.nl. De websites blijven jammer genoeg nog beschikbaar. Bij uitvoeren van een nslookup van bv. www.beltegoed.nl, zie ik 4 ip-adressen staan. De ip-adressen veranderen veelvuldig (<1 min) naar een ander IP-range. Mijn kennis van netwerken en hoe bedrijven hun website hosten is te beperkt en weet even niet hoe ik dit met de Ubiquiti USG router kan oplossen. Er staan op het web tallozen blogs waarin mensen beklag doen waarom Ubiquiti dit na 6 jar nog steeds niet goed ingeregeld heeft.

Mocht je nog andere ideeën hebben over hoe je websites kan blokkeren en de oplossing kan delen dan wordt dit op prijs gesteld!
 
Ja, ik heb ook een pi-hole server (een losse raspberry pi die de gratis software Pi-hole draait) Dit heeft als voordeel dat je dit, maar ook een hele zwik aan advertenties buiten de deur houdt.
Deze fungeert als DNS server met een filter. Dus ook een soort firewall, maar dan voor DNS verkeer. Ingebouwd zit een hele lijst met adressen die spam, reclame en andere troep aan versturen. Als bijvoorbeeld een Telegraaf.nl wordt geladen, worden op de achtergrond vele DNS verzoeken gedaan omdat deze krant veel "extra's" meegeeft. Dit wordt afgevangen door deze DNS server, die kijkt of het aangevraagde adres op zijn blacklist staat, zo ja, dan wordt dit tegengehouden (leeg vlak), zo nee, dan wordt de content bij de gewone DNS server (bijvoorbeeld 8.8.8.8 van Google) opgehaald.
Behalve die standaard blacklist kan je ip adressen toevoegen, maar ook andersom juist toelaten. Als voorbeeld als je een spelletje speelt en je krijgt extra muntjes als je een reclamefilmpje kijkt (die staan vaak op deze blacklist) dan wil je dit soms toelaten, om toch je gratis muntjes te kunnen verzamelen 😊

Je kunt trouwens een Raspberry Pi (ook dezelfde) ook gebruiken om als Unifi server te fungeren (niet nodig als je een UDM hebt) maar anders handig om dit via een netwerkpagina te kunnen managen.
 
Laatst bewerkt:
Activiteit
Er wordt op dit moment (nog) geen nieuwe reactie gepost.
  Topic Status: Hallo . Er is al meer dan 14 dagen geen nieuwe reactie meer geplaatst.
  De inhoud is mogelijk niet langer relevant.
  Misschien is het beter om in plaats daarvan een nieuw onderwerp te starten..