Probleem met een Firewall rule

[Springer]

Hallo allemaal,

Ik loop ergens tegen aan waar ik niet uitkom of ik zie iets over het hoofd. Heb een management lan VLAN1 (default Unifi) , een bepaald device in dat management lan mag alleen connectie maken met de UCK web/gui, maar krijg dit dus niet voor elkaar. Voor SSH is het me wel gelukt. Heb een FW Group voor het device (alleen het ip adres van dat device) en een FW Group port https (443) en een FW Group UCK (alleen het ip adres van de uck).

Ik maak een allow FW rule aan onder Lan_Local van protocol all source: FW Group device -> destination:FW Group UCK en port FW Group port https.

Dan een deny rule https van protocol all source: any -> destination: any and FW Group https

Dit werkt wel voor ssh , kan dus alleen van dat device in het management lan een ssh sessie doen naar de router en switches en niet met een ander device in het management lan maar voor de webgui van de controller lukt het mij niet.

Iemand een idee?

Alvast bedankt.

 

[mchp92]

Ben je niet sneller klaar door alle decives muv jouw “super device” en CK, in een ander vlan 2 te hangen en dan geen verkeer van 2 naar 1 toe te laten? Ik heb vergelijkbare settings (private lan, service lan, guest lan). Guest devices mogen wel service maar niet private lan zien. Private mag alles zien. In service lan hangt bijv mn adblocker, printer en ouwe nas voor bestandstranfers (mn “echte” nassen hangen in private lan)

 

[Springer]

Ik heb ook meerdere vlans (voor camera / IoT en multimedia devices) en alles is gescheiden van elkaar, en sommige devices mogen gebruik maken van bepaalde services in andere vlans dat werkt gewoon, maar zie niet helemaal waarom dit niet lukt.

 

[mchp92]

Wat als je de deny rule wat afzwakt door t protocol eruit te laten. Dus vanaf elk device behalve je “super device” een Drop. En vanaf je “super device” een accept. Ongeacht protocol
Werkt t dan wel?

 

[Springer]

Nee dat werkt ook niet , blijf een login pagina van de cloudkey krijgen. Alle unifi devices en management laptop zitten op hetzelfde subnet. Vreemde is dat ssh het wel doet, dus wel een ssh login prompt met management laptop maar geen ssh login prompt met een laptop die niet in die groep zit. (layer 2 ze kennen elkaar waarom ssh het dan wel doet?)

 

[Hofstede]

Ik denk dat je mogelijk ergens een denkfout maakt? Als je alle de devices in hetzelfde VLAN / subnet hebt kun je helemaal niets blokken in de firewall. Want het verkeer tussen de devices gaat dan niet via de firewall in de USG maar rechtstreeks tussen de devices.

Teken anders even een schema hoe je het opgezet hebt, dat verduidelijkt misschien wat je wilt bereiken.

 

[Springer]

Het werkt nu wel , heb een extra mgmt-vlan voor beheer gemaakt , alleen een mgmt laptop in dat vlan kan https doen naar de cloudkey en de rest niet (fw rules hiervoor in Lan_in). Rest is aangepast, toch een denkfout zoals Hofstede zegt.

SSH in hetzelfde subnet kon ik gewoon "blocken" per laptop (fw rules hiervoor in Lan_local) misschien dat het verschil daar inzit "lan_in vs lan_local"