Zone based firewall ten onrechte Allow all

Brainy

Brainy

UniFier
18 feb 2022
54
39
18
#1
Ondanks dat ik regels heb ingesteld die voorkomen dat vlannen met elkaar communiceren krijg ik toch in de matrix “Allow all” ten zien. Dit was enkele versies terug niet zo.

De firewall werkt wel zoals verwacht. Het lijkt een foutieve weergave in de matrix. Hebben jullie dit ook?

Het geldt trouwens voor de gehele matrix.

IMG_0080.webp
 
  • Leuk
Waarderingen: mezzerin
#2
1748506338522.webp

Al mijn networks/devices (muv gasten wifi netwerk) zitten in 2 zones secure en unsecure. Networks hebben allen een eigen VLAN en tussen de VLAN is standaard alles geblocked. Er zit geen netwerk op Internal en communicatie van Default Network naar External is ook blocked.

Alle UniFi devices zitten in Management Network met Internet Access Blocked ook via netwerk instelling optie.

Ik heb het op deze manier op meerdere sites/locaties draaien.
 
Laatst bewerkt:
#3
Nee, de weergave is alleen iets aangepast omdat die niet consequent was. De matrix geeft nu aan dat de default regel "Allow all" is en dat er custom regels zijn die dat gedrag veranderen, en dat klopt.
Het zou beter zijn als je voor elke VLAN een aparte zone zou definiëren in plaats van alle VLANs in de zone Internal te zetten. Dan wordt de matrix ook duidelijker.
 
Laatst bewerkt:
  • Leuk
Waarderingen: Brainy
#5
Ik moest even nadenken over je antwoord maar inderdaad, de matrix geeft nu de default instelling weer. Wel bijzonder de keuze van UniFi om de eigen zones Allow all te maken maar nieuwe zones Block all.
Als je ieder VLAN een eigen zone geeft moet je wel veel custom regels maken.
Voor een huis tuin en keuken installatie gaat dit filmpje wel heel ver.
 
#6
Denk dat je je daarin vergist. Door mijn twee speciale VLANs elk in een eigen zone (Management en IoT) te stoppen heb ik juist nog maar 3 custom regels nodig om alles te regelen.
 
  • Leuk
Waarderingen: mezzerin
#7
Brainy zei:
Ik moest even nadenken over je antwoord maar inderdaad, de matrix geeft nu de default instelling weer. Wel bijzonder de keuze van UniFi om de eigen zones Allow all te maken maar nieuwe zones Block all.
Als je ieder VLAN een eigen zone geeft moet je wel veel custom regels maken.
Voor een huis tuin en keuken installatie gaat dit filmpje wel heel ver.
Klik om te vergroten...
Het stelt, mijns inziens, niet veel meer voor dan 2 zones aanmaken (secure en unsecure). Daar je netwerken in gooien. En dan staat vrijwel alles meteen default goed en heb je nog maar een paar custom regels nodig. Het is niet meer dan 15 min werk om het zo in te stellen. Persoonlijk vind ik het ook een goed onderbouwde en degelijke/veilige manier om het snel op te zetten. Keuze is aan jou uiteraard, maar zelfs voor huis, tuin en keuken installatie is het prima toepasbaar.
 
Je moet ingelogd zijn om te kunnen reageren. Log in | Registreer

Vergelijkbare onderwerpen

DenBolle
  • Gesloten
UDM/Pro "rogue -macadressen" / vreemde mac-adressen
Reacties
24
Weergaven
2K
Routers
DenBolle
DenBolle
Bovenaan Onderaan
Terug
Menu