Firewall-Regeln

Änderungsstand: 2021-01-23

Im vorherigen Guide wurde ein Raspi, welcher am dritten Switch angebunden wurde, mit VLAN eingerichtet. Nun möchte ich genau auf diesem VLAN Firewallregeln setzen. Da ich nur einen Port eines Switches und nur ein Gerät dafür verwende, gestaltet sich das relativ übersichtlich. Als erstes möchte ich sämtlichen Datenverkehr des Heimnetzes auf den Rapi unterbinden. Danach werde ich eine Firewallregel setzen, die den Zugriff meines Hauptrechners zum Raspi trotzdem erlaubt.

Jetzt erstelle ich eine IPv4-Firewallregel, dass das LAN (Heimnetz) nicht mehr auf meinen Raspi zugreifen kann.

Ich logge mich auf die Weboberfläche des USG ein. Ich zeige hier 2 Möglichkeiten. Einmal das aktuelle Menu und einmal das klassische Menu. Ich wähle hierbei den einfachen Weg und blockiere ALLES. In diesem Firewall-Menu könnte man auch einzelne Dienste, getrennt voneinander, bearbeiten. Doch das ist mir momentan zu aufwändig. Ich befinde mich immerhin im Testmodus 🙂 .

Einstellung im „NEUEN MENU“:

  • „Einstellungen“
  • „Security“
    • „Internet Threat Management“
      • „Firewall“
      • LAN
        • „Create New Rule“
        • Type: „LAN IN“
        • Description: Block_LAN_to_Raspi
        • Enabled: AN
        • Rule Applied: Before
        • Action: Drop
        • IPv4 Protokoll: ALL
        • SOURCE
        • Source Type: Network
        • Network: LAN
        • Network Type: IPv4 Subnet
        • DESTINATION
          • Destination Type: Network
          • Network: Pi-Test (mein erstelltes VLAN)
          • Network Type: IPv4 Subnet
      • Apply Changes

Einstellung im „Classic Menu“:

  • „Einstellungen“
  • „Classic Menu“
  • „Routing & Firewall“
    • „Firewall“
      • „LAN „Eingehend“
        • „Neue Regel Erstellen“
          • Name: Block_LAN_to_Raspi
          • Aktiviert: EIN
          • Aktion: Verwerfen
          • IPv4 Protokoll: Alle
          • ERWEITERT
          • Zustand: Neu, Hergestellt, Zugehörigkeit – jeweils AN
          • QUELLE
            • Quell-Typ: Netzwerk
            • Netzwerk: LAN – IPv4 Subnetz
          • ZIEL
            • Ziel-Typ: Netzwerk
            • Netzwerk: PI-Test (mein erstelltes VLAN) – IPv4 Subnetz
      • SPEICHERN

Hat man die Einstellungen getätigt, dauert die Übertragung zur USG ein paar Sekunden. Am besten, man wartet immer die „Provisionierung“ ab, bis das USG wieder verbunden ist. Stellt man die „Quelle“ auf „Beliebig“, werden von allen angeschlossenen LAN’s die Zugriffe blockiert.

Jetzt ist der Raspi nicht mehr aus dem Heimnetz bzw. auch aus allen anderen angebundenen Netzen (wenn man „Quelle“: IPv4-Adressgruppe: Beliebig verwendet), erreichbar. Ein „Anpingen“ des Raspi ist nicht mehr möglich. Allerdings ist jetzt auch der SSH-Zugriff, über z.B. Putty, gesperrt.

Jetzt erstelle ich eine IPv4-Firewallregel, dass mein Hauptrechner trotzdem auf meinem Raspi zugreifen kann.

Ich verwende jetzt nur das klassische Menu. Ableitungen zum modernen Menu kann man oben sehen.

Einstellung im „Classic Menu“:

  • „Einstellungen“
  • „Classic Menu“
  • „Routing & Firewall“
    • „Firewall“
      • „LAN „Eingehend
        • „Neue Regel Erstellen“
          • Name: ALLOW_Admin-PC_to_Raspi
          • Aktiviert: EIN
          • Aktion: Akzeptieren
          • IPv4 Protokoll: Alle
          • ERWEITERT
          • QUELLE
          • Quell-Typ: IP-Adresse
          • IPv4-Adresse: IP des Rechners
            • und/oder MAC-Adresse: Das ist definitiv sicherer, weil man IP-Adressen manipulieren könnte – Achtung! IP-Adressen unter Linux werden mit Doppelpunkt zwischen den Zeichen angegeben (xx:xx:xx:xx:xx:xx) und nicht mit – , wie das in Windows ausgegeben wird
          • ZIEL-Typ: Netzwerk
          • Netzwerk: PI-Test – IPv4 Subnetz (mein VLAN)
          • SPEICHERN

Jetzt unbedingt unter Firewall – LAN EINGEHEND die erstellte Freigabe an Position 1 ziehen. (mit der Maus kann man das blaue Symbol am Anfang anklicken und ziehen). Sonst bringt die Firewallregel nichts!

Hat man die Einstellungen getätigt, dauert die Übertragung zur USG ein paar Sekunden. Am besten, man wartet immer die „Provisionierung“ ab, bis das USG wieder verbunden ist.

Jetzt ist der Raspi von meinem Rechner aus dem Heimnetz wieder erreichbar. Als Gegentest, ob die vorher erstellte Firewall-Regel noch greift, starte ich auf meinem Server im Heimnetz eine VM und setze einen Ping zu meinem Raspi. Perfekt. Der Raspi ist NICHT erreichbar.

Es ist durch die oben erstellte Regel (Sperre LAN zu Raspi) auch der umgekehrte Weg gesperrt. Allerdings ist vom Raspi aus das Gateway per Ping noch erreichbar. Da bin ich noch dran.

Erstelle eine Website wie diese mit WordPress.com
Jetzt starten