tips voor Firewall rules mbt G6 DB Lite

H

Hydaar

UniFier
11 okt 2024
19
16
3
#1
Ik heb gisteren de G6 Doorbell Lite geïnstalleerd. Dat liep niet helemaal vlotjes omdat ik tegen een firewall rule aanliep die untrusted (IoT) niet toestaat de gateway te benaderen.
Dat is een regel die ik klakkeloos heb overgenomen van een YouTuber en ook al een tijdje zijn ding doet. Verder zonder problemen.

Maar de deurbel en chime werken niet met deze regel actief. En dus heb ik beide apparaten toestemming gegeven zonder dat ik de consequenties hiervan overzie, laat staan begrijp.

De vraag die bij me opkwam en ik aan jullie wil voorleggen is wat nu eigelijk een goede set regels is voor een deurbel. De deurbel is een kabel rechtstreeks naar buiten. Ik neem aan dat je die zo ver als mogelijk wilt dichttimmeren. Maar hoe doe je dat verstandig?

De deurbel is via een Enterprise 8 POE switch met een Cloud Gateway Max verbonden.

vast bedankt
 
#3
Bij mij zitten de camera's niet in IoT. Ik zou juist niet willen dat mijn Unifi Camera's vanuit een IoT device te benaderen zijn. En de Unifi camera's communiceren niet met internet en zijn niet bereikbaar vanuit internet. Alleen de Protect applicatie op de gateway heeft internet nodig.

En dat je het toe moet laten is begrijpelijk, want de deurbel moet kunnen praten met de Protect applicatie en als je op IoT de gateway blokkeert waarop Protect draait dan werkt het uiteraard niet.

Eventueel kun je poort van de switch vastzetten op het MAC adres van de bel. Niet 100% maar wel een extra beveiligingsstap.
 
  • Leuk
Waarderingen: dbw, PcRene en mezzerin
#4
Ik ben hiermee bezig geweest en ben op de volgende opzet uitgekomen.

Voor zover als ik het begrijp is dit wel acceptabel. Maar ik laat me graag adviseren als ik ergens fout zit.

- VLAN 'Cameras' aangemaakt (voor G6DB Lite en Smart Chime)
- Wifi 'Cameras' aangemaakt (voor de smart chime)
- Switchpoort met G6 DB Lite getagged Cameras en Block all

Firewall
- 'Cameras'-VLAN in de 'Untrusted'-zone geplaatst samen met IoT en Gast

- Untrusted -> Internal:
Allow all (Return),
Block All Traffic

- Untrusted -> External:
Block Untrusted Any Any from External RFC1918 Any,
Block IoT en Camera's van External Any Any,
Block Invalid Traffic,
Allow All Traffic

- Untrusted -> Gateway:
Block Untrusted; IoT en Gast Any to all Gateways Any
Block Unifi Management; Untrusted any any van Gateway Any (port 22, 80, 443)
Allow mDNS
Allow All Traffic

- Untrusted -> VPN:
Block All

-Untrusted -> Hotspot:
Block All

- Untrusted -> DMZ
Block All

- Untrusted -> Untrusted:
Gast krijgt toegang tot printer via ip-adres op printerpoorten (631, 515 en 9100) met return Traffic
Block all Traffic
 
Je moet ingelogd zijn om te kunnen reageren. Log in | Registreer
Bovenaan Onderaan
Terug
Menu