Hjelp til å forstå brannmuren på UDM-pro...

[Anterialis]

Hei,

jeg holder på å sette opp en UDM-pro og forsøker lære meg hvordan brannmuren fungerer. Jeg har tidligere puslet så vidt med brannmurer på mer consumer orienterte rutere (e.g. Netgear Orbi), men det er først nå jeg hører om "established" og "related" match states. Jeg har litt vansker med å forstå hva de forskjellige reglene egentlig gjør.

Slik jeg forstår det (så langt..) bør man jo alltid ha en "dropp all trafikk" nederst i brannmur-regellisten. Om tilkoblingen (som forsøker komme inn på LAN) ikke har matched med noen av reglene over, vil trafikken dermed droppes (i siste regel).

Fortløpende spm., 1) Men hva skjer om jeg ikke har en "dropp alt"-regel nederst, vil all trafikk slippes igjennom? Spiller det da null rolle hva slags "allow"-regler jeg har i listen, om det kun er "allow"-regler og ingen "deny/drop"-regler?

Dernest forstår jeg at når man sitter på LAN og skal ut av brannmuren (LAN-->WAN), trengs egentlig ingen regler. Alt får lov til å spille igjennom. MEN, når man ber om noe på nettet, får man jo et svar. Dette svaret vil jo da i utgangspunktet droppes om man har en "dropp all"-regel nederst i brannmur-regellisten, og det smarteste i dette tilfellet (og kanskje en slags default på alle rutere?) er å ha en "allow established" (evt. "allow established og related) øverst i regellisten. Jeg forstår denne regelen som at dersom jeg (e.g. 192.168.1.10) spør om noe (eg. www.diskusjon.no på 87.238.37.221), så vil ruteren slippe igjennom trafikk som så returnerer fra 87.238.37.221 med destinasjon 192.168.1.10. 

Fortløpende spørsmål, 2) Hva defineres med "established" og hvordan vet ruteren at det er et svar på en tidligere forespørsel? Må svaret komme innenfor en viss tid for å defineres som et "svar"? Eller vet ruteren (info i TCP/IP headeren??) med sikkerhet at en pakke kommer som et resultat av en forespørsel på LAN, og ikke er en ny tilkobling? Virker jo ellers som at en "hacker" bare kan sende en pakke og late som det er et svar på en tidligere forespørsel og på den måten komme seg igjennom brannmuren.. Hva er det som gjør at brannmuren vet at en pakke fra diskusjon.no er et svar på en tidligere forespørsel fra LAN?

Videre hadde jeg satt stor pris på om noen kunne svart på følgende (det er ikke sikkert reglene henger på greip, men det er kun eksempler for å få meg til å forstå koseptet): 

Følgende gjelder UniFi Dream Machine Pro:

Spørsmål 3)
Si jeg setter opp en regel "nederst" i listen som dropper alt. Hva skjer om jeg i tillegg huker av for "Match state established"? Vil regelen da gå fra å være en god "dropp alt annet"-regel (siden den er nederst i regellisten), til å kun droppe established connections? Altså dersom jeg går fra dette:

Bilde nr. 1. "Dropp alt"-regelen.

Til dette:

Bilde nr. 2

Spørsmål 4)

Jeg har en Synology NAS med en filserver (Synology Drive) som står på et VLAN. Jeg har tidligere måttet åpne brannmuren for å få tilgang til filene når jeg er bortreist. Nå får jeg til min overraskelse full tilgang til filene på filserveren til tross for at jeg kun har denne ene "allow established/related"-regelen i lista (bilde #3), i tillegg til "dropp alt"-regel nederst (bilde #1). Altså ingen egen "allow"-regel på portene som Synology Drive bruker (bl.a. 443, 5000, 5001, 6690). Jeg har heller ikke satt opp port forwarding. Hva er grunnen til at jeg får tilgang til filserveren kun med denne (Bilde #3) regelen? For å teste "dropp alt"-regelen min, ser jeg at jeg mister all kontakt med internett (LAN-->WAN) samt ikke får tilgang til filserveren (WAN-->LAN) dersom jeg fjerner "allow established/related" regelen min og kun har "dropp alt" regelen min. 

Bilde nr. 3

Hvorfor får jeg tilgang til NAS-filserveren fra WAN med denne regelen?

 

Slik er brannmuren:

Bilde nr. 4

Tusen takk for hjelpen!

Endret 20. desember 2021 av Anterialis

[xClaymanx]

Mulig du står i "new" theme? Prøv å gå tilbake til det originale gui'en. Jeg synes fortsatt den er mye bedre til så mangt

 

[Anterialis]

Takk for tipset! Er det sånn at funksjoner mangler i det nye temaet? Trodde det var helt likt, bare fantes på forskjellige steder / ser annerledes ut. 

Uansett, reglene ser like ut i "gammelt" utseende, så spørsmålene vedvarer...

Endret 20. desember 2021 av Anterialis

[Anterialis]

Hmm, muligens jeg selv forstår svaret til spm. 2; Er det riktig at - når det gjelder TCP/IP-protokollen, så er det SYN som tilsier at en tilkobling er ny, mens en SYN/ACK vil si at den er established? I så fall forstår jeg hvordan ruteren kan vite om det er et svar på en tidligere forespørsel...