Moin,
ich bin aktuell am Umbau meines Netzwerks, bzw. neuaufbau mit Geräten der UniFi Serie. Bislang läuft eigentlich alles wie ich möchte, auch mit dem ein oder anderen "kleineren" Problem. Aber es geht voran. Nun komme ich endlich an das Thema, was vielleicht einer der wichtigsten ist. Die Firewall.
Ich habe mir so ein paar Gedanken dazu gemacht und wollte eure Meinungen und Gedanken dazu gerne hören. Im Moment läuft das UniFi Netzwerk noch hinter der FritzBox im DoppelNat, da ich so viel wie möglich gerne vorher testen möchte, bevor es in den Produktiveinsatz geht.
Hier erstmal meine 3 größten Ideen / Überlegungen zu dem Thema:
Vielleicht hat jemand von euch ggf. noch ein paar Ideen oder Gedanken, welche ich ggf. nicht berücksichtigt habe?
Michael
ich bin aktuell am Umbau meines Netzwerks, bzw. neuaufbau mit Geräten der UniFi Serie. Bislang läuft eigentlich alles wie ich möchte, auch mit dem ein oder anderen "kleineren" Problem. Aber es geht voran. Nun komme ich endlich an das Thema, was vielleicht einer der wichtigsten ist. Die Firewall.
Ich habe mir so ein paar Gedanken dazu gemacht und wollte eure Meinungen und Gedanken dazu gerne hören. Im Moment läuft das UniFi Netzwerk noch hinter der FritzBox im DoppelNat, da ich so viel wie möglich gerne vorher testen möchte, bevor es in den Produktiveinsatz geht.
Hier erstmal meine 3 größten Ideen / Überlegungen zu dem Thema:
- Das Gastnetzwerk, würdet Ihr da einfach den "Gastharken" setzen und gut ist oder eher die Regeln selber definieren, da dies ggf. mehr "Flexibilität" bietet, falls man z.B. den Drucker oder eine Art "Gast NAS" zur Verfügung stellen möchte?
- Macht es Sinn, die Allow Regeln in "LAN in" zusammen zufassen und die Drop Regeln in "LAN out"? Also soweit ich mir in letzter Zeit einiges angelesen habe, sollen die Drop Regel erst "nach" den Allow Regeln stehen um ein sauberes abarbeiten der Regeln sicher zu stellen. Und LAN in ist ja vor LAN out.
- Macht es Sinn jedes Netzwerk explizit von einem "anderen" Netzwerk" zu trennen. Also um erstmal eine "Basis" zu haben? Den von "Natur" aus ist bei UniFi ja alles mit allem im Netzwerk erlaubt, egal von welchem zu welchem Netzwerk es geht. Das würde ggf. natürlich eine "Masse" von Regeln ergeben, je nachdem wieviele VLANs es am Ende gibt. Also es wären ja schon mal 12 Regeln um alle Netzwerke voneinander zu "trennen", wenn man zum Beispiel 4 VLANs hat. Bei mir werden es am vorläufigen "Ende" vermutlich 7-8 VLANs werden. Ob noch mehr kommt, weiß man nicht, da manche Geräte aktuell nicht in der Planung stehen wie Kameras und ähnlichem z.B..
- Managment
- Hauptnetzwerk
- IoT Netzwerk
- Server Netzwerk
- VPN Netzwerk
- CNC Netzwerk (eigentlich eine Direktverbindung zwischen PC ander CNC Fräse und der NAS)
- Labor Umgebung (am Bastelplatz 2 Netzwerkdosen mit einem eigenen WLAN um Ideen mit Wemos D1 Mini und ähnliches zu testen ohne Verbindung zum Rest der "Welt"
- ggf. GastNetzwerk
Vielleicht hat jemand von euch ggf. noch ein paar Ideen oder Gedanken, welche ich ggf. nicht berücksichtigt habe?
Michael
