Ga naar inhoud

πŸ”₯ Firewall Regels

De firewall op de UDM Pro controleert welk verkeer tussen VLANs is toegestaan.

Zone-Based Firewall

Het Hamming netwerk gebruikt de nieuwe UniFi Zone-Based Firewall. Alle VLANs zitten in de Internal zone.

Zones

Zone Netwerken
Internal VLAN 1, 10, 20, 30
External Internet (WAN)
VPN Tailscale, etc.

Firewall Regels Overzicht

β”Œβ”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”      βœ… Full        β”Œβ”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”
β”‚   VLAN 1    │◄────────────────────►│  VLAN 10   β”‚
β”‚ Management  β”‚     Access          β”‚   Clients   β”‚
β””β”€β”€β”€β”€β”€β”€β”¬β”€β”€β”€β”€β”€β”€β”˜                     β””β”€β”€β”€β”€β”€β”€β”¬β”€β”€β”€β”€β”€β”€β”˜
       β”‚                                   β”‚
       β”‚ βœ… Full                          β”‚ βœ… Full
       β–Ό                                   β–Ό
β”Œβ”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”      ❌ Blocked     β”Œβ”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”
β”‚   VLAN 20   │◄─────────────────────│  VLAN 10   β”‚
β”‚     IoT     β”‚                     β”‚   Clients   β”‚
β””β”€β”€β”€β”€β”€β”€β”¬β”€β”€β”€β”€β”€β”€β”˜                     β””β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”˜
       β”‚
       β”‚ ⚠️ DNS only (naar VLAN 1)
       β”‚
       β”‚ ❌ Blocked (naar VLAN 10)
       β”‚
β”Œβ”€β”€β”€β”€β”€β”€β–Όβ”€β”€β”€β”€β”€β”€β”
β”‚   VLAN 30   β”‚  ❌ Volledig geΓ―soleerd
β”‚   Cameras   β”‚  ❌ Geen internet
β””β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”˜
       β–²
       β”‚ βœ… Frigate only
       β”‚ (192.168.1.15)

Toegestane Regels

Allow Frigate to Cameras (10004)

Setting Waarde
Type Allow
Source 192.168.1.15 (Frigate)
Destination VLAN 30 (Cameras)
Port Any
Protocol TCP/UDP

Doel: Frigate kan camera streams ophalen via RTSP.

Allow Hamming to DNS (10000)

Setting Waarde
Type Allow
Source VLAN 10
Destination 192.168.1.13
Port 53
Protocol TCP/UDP

Doel: Clients kunnen Pi-hole gebruiken als DNS.

Allow Hamming to IoT (10003)

Setting Waarde
Type Allow
Source VLAN 10
Destination VLAN 20
Port Any
Protocol Any

Doel: Je kunt vanaf je laptop/telefoon IoT apparaten bedienen.

Allow Hamming to Management (10002)

Setting Waarde
Type Allow
Source VLAN 10
Destination VLAN 1
Port Any
Protocol Any

Doel: Clients kunnen bij servers (NAS, Docker, etc.).

Allow Management to Hamming

Setting Waarde
Type Allow
Source VLAN 1
Destination VLAN 10
Port Any
Protocol Any

Doel: Servers kunnen clients bereiken indien nodig.

Allow Management to IoT (10005)

Setting Waarde
Type Allow
Source VLAN 1
Destination VLAN 20
Port Any
Protocol Any

Doel: Management kan IoT apparaten beheren.

Allow IoT to DNS (10001)

Setting Waarde
Type Allow
Source VLAN 20
Destination 192.168.1.13
Port 53
Protocol TCP/UDP

Doel: IoT apparaten kunnen DNS gebruiken.

Blokkeer Regels

Block Cameras to All (10007)

Setting Waarde
Type Block
Source VLAN 30
Destination Internal (alle VLANs)
Connection State All

Doel: Camera's kunnen niets initiΓ«ren naar andere netwerken.

Block Cameras to Internet (10000)

Setting Waarde
Type Block
Source VLAN 30
Destination External (Internet)
Connection State All

Doel: Camera's hebben geen internettoegang (geen "phone home").

Block IoT to Hamming (10008)

Setting Waarde
Type Block
Source VLAN 20
Destination VLAN 10
Connection State Custom β†’ New

Doel: IoT kan geen verbindingen starten naar clients.

KRITIEK: Connection State

Deze regel moet Connection State: Custom β†’ New hebben, niet "All"!

  • βœ… New: Blokkeert alleen nieuwe verbindingen vanuit IoT
  • ❌ All: Blokkeert ALLES inclusief antwoorden (werkt niet!)

Block IoT to Management (10006)

Setting Waarde
Type Block
Source VLAN 20
Destination VLAN 1
Connection State Custom β†’ New

Doel: IoT kan geen nieuwe verbindingen naar Management (behalve DNS).

Regel Volgorde

Volgorde is cruciaal!

Firewall regels worden van boven naar beneden geΓ«valueerd. De eerste match wint.

Juiste volgorde:

  1. Allow regels (specifiek)
  2. Block regels (algemeen)

In UniFi: 1. Ga naar Firewall Rules 2. Klik "Manage" (rechtsonder) 3. Sleep regels naar juiste volgorde 4. Allow regels BOVEN block regels

Firewall Regel Aanmaken

In UniFi Network

  1. Settings β†’ Firewall & Security β†’ Firewall Rules
  2. Create New Rule
  3. Vul in:
  4. Name: Beschrijvende naam
  5. Type: Allow of Block
  6. Source: VLAN, IP, of groep
  7. Destination: VLAN, IP, of groep
  8. Protocol/Port: Specifiek of Any
  9. Advanced:
  10. Connection State:
    • All (voor block camera's)
    • Custom β†’ New (voor block IoT naar andere VLANs)
  11. Apply

Connection State Uitleg

State Betekenis Wanneer gebruiken
All Alle pakketten Block regels voor volledige isolatie
New Alleen nieuwe verbindingen Block regels waar return traffic wel mag
Established Bestaande verbindingen Allow return traffic
Related Gerelateerde verbindingen FTP, SIP, etc.

Troubleshooting

IoT kan niet bij DNS

  1. Check "Allow IoT to DNS" regel bestaat
  2. Check dat deze BOVEN de block regels staat
  3. Test: 
    nslookup google.com 192.168.1.13

Client kan niet bij NAS/Server

  1. Check "Allow Hamming to Management" regel
  2. Verifieer VLAN van client: 
    ip addr  # Check IP range
  3. Test connectiviteit: 
    ping 192.168.1.12

IoT apparaat werkt niet meer na firewall change

  1. Check Connection State van block regels
  2. Moet "New" zijn, niet "All"
  3. Herstart het IoT apparaat

Camera's nog steeds online

  1. Check "Block Cameras to Internet" regel
  2. Connection State moet "All" zijn
  3. Verifieer camera is echt in VLAN 30:
  4. Check switch poort configuratie

Firewall Logs Bekijken

  1. UniFi Network β†’ Settings β†’ System β†’ Advanced
  2. Enable "Detailed Logging"
  3. Ga naar System Logs
  4. Filter op "Firewall"

Gerelateerd