Dlink consumer router vervangen door Ubiquiti ER-lite

Heb ervaring met de Edgerouter X en dat is zeer simpel zeker als je geen portforwardings hebt. Staat eigenlijk gewoon alles dicht en bij portforwardings past hij zelf de firewall aan. Kortom simpel maar erg leuk apparaat.

Er is ook genoeg over te vinden. Zie:

https://help.ubnt.com/hc/...7660-EdgeMAX-SOHO-Example
https://help.ubnt.com/hc/...X-Zone-Policy-CLI-Example
En voor IPv6:
https://community.ubnt.co...xample-needed/td-p/846484

En een werkende config voor Glasvezel Internet KPN (IPv4 en IPv6:
https://community.ubnt.co...ter-KPN-IPv6/td-p/1483696 (onderin)

Weumel schreef op dinsdag 21 juni 2016 @ 09:24:
@Frogmen:
Jij hebt dus de default firewall draaien? En daar moet je niks extra aan doen, en biedt voldoende bescherming?

@Dafjedavid
Je voorbeelden halen goed aan wat ik net bedoel: er zijn genoeg voorbeelden van hoe je eraan moet beginnen en alle mogelijke zaken op te zetten, maar mijn vraag is: is de default configuratie goed genoeg?
In je 1e example staat al letterlijk "The following example firewall is just very basic (and not necessarily recommended). "

Voor de volledigheid moet ik er ook wel bijzeggen dat ik in belgie woon & telenet heb.

In mijn post had ik deze link geplaatst:

En een werkende config voor Glasvezel Internet KPN (IPv4 en IPv6:
https://community.ubnt.co...ter-KPN-IPv6/td-p/1483696 (onderin)

De config onderin de post is mijn eigen config die ik thuis hanteer en die is goed voor thuisgebruik.
Je kan ICMP op IPv6 nog wat verder dichtzetten als dat van toepassing is maar daar moet ik nog een keer mee aan de gang. Voor IPv4 is het niet zo heel spannend en is de config afgeleid van de voorbeelden aangevuld met mijn eigen kennis en expertise.

Het gaat er basically om dat je established verbindingen van binnen naar buiten toestaat en de rest dicht zet.
Maak wel ee uitzondering voor DHCP in je WAN_LOCAL ACL anders krijgt je WAN poort geen IP-adres.

De firewall kan je op een aantal manieren inrichten.
Je kan de default firewall/portforward gebruiken (geen ervaring mee)
Je kan port-based firewalling doen.
Je kan zone-based firewalling doen. (deze gebruik ik)


Ik ben gewend om zone based firewalling te doen en voor de forward te werken met een combinatie van het openzetten van de poort(en) van zone A naar B en waar nodig een NAT regel aan te maken.
Voor een simpele config zal het wellicht wat overkill zijn, maar als je gebruikt maakt van bijvoorbeeld vpn kan je op deze manier al iets extra veiligheid inbouwen en je richt direct je firewall in om makkelijk te kunnen schalen mocht je ooit een 2e netwerkje willen aanleggen.

https://help.ubnt.com/hc/...X-Zone-Policy-CLI-Example
https://www.edgeroutercon...dgerouter-lite-community/

De default config na de wizard heb ik geen idee van, deze kan je makkelijk testen toch? De default firewall zal alleen de poorten van WAN > LAN dichtzetten. Kwestie van instellen en kijken of je van buitenaf bij je services op je lan kan komen. Werkt dit niet dan doet de firewall zijn werk, werkt dit wel dan doet de firewall zijn werk niet/niet voldoende. Meer dan dit kan je niet verwachten van de standaard firewall. Wil je zaken kunnen regelen tussen 2 apparaten in je netwerk of wil je poorten van LAN > WAN dicht kunnen zetten voor pc's dan zal je toch zelf een firewall moeten inrichten, dit bedoelen ze met "The following example firewall is just very basic (and not necessarily recommended)."

Maar waarom wil je de default firewall gebruiken? Ik neem even aan dat je die edgerouter niet voor de sier hebt gekocht? anders had je beter weer een consumenten router kunnen kopen .

Ik zou je willen adviseren om alles handmatig in te stellen en geen gebruikt te maken van de wizard. Op deze manier weet je precies wat je ingesteld hebt, waar dit ingesteld is en waarom dit ingesteld is. Bij een wizard weet je lang niet altijd wat er allemaal gebeurd.

[ Voor 42% gewijzigd door Axewi op 21-06-2016 12:14 ]

Waarom zou je voor thuis gebruik je firewall verder dicht willen zetten en poorten naar buiten willen blokkeren? Lijkt mij alleen nuttig als je specifiek verkeer wilt blokken.