Ubiquiti netwerk vragen

Mijn vraag

Hallo Tweakers!
Ik heb twee vragen m.b.t. een Ubiquiti netwerk.

1. Ik probeer te begrijpen hoe ik de Firewall regels van de USG moet instellen.
Wat ik niet goed begrijp zijn de zogenaamde states waar een regel wel of niet van op toepassing is.
States: Established, Related, New etc. Op internet heb ik proberen op te zoeken hoe dit werkt, maar het word mij nog niet duidelijk of de regels nou toegepast worden als de verbinding in 1 van deze "states" bevind of juist niet. Kan iemand mij dit uitleggen?

2. Ik heb op de USG, 4 netwerken:

LAN 1 (192.168.1.0) Management
VLAN 2 (192.168.2.0) Private
VLAN 3 (192.168.3.0) Zakelijk
VLAN 4 (192.168.4.0) Guest

Nou wil ik graag twee dingen:
1. Ik wil dat alle netwerken niet met elkaar kunnen communiceren, hiervoor heb ik een handleiding gevonden https://help.ubnt.com/hc/...Disable-InterVLAN-Routing. Optie 2.

Dit werkt ook, maar nu het volgende. Mijn Unifi Controller/ Pi-Hole zit in het LAN 1 netwerk.
Pi-Hole IP: 192.168.1.252. Ik zou graag willen dat elk VLAN gebruikt gaat maken van deze DNS server.
Door de Firewall regel om InterVLAN-Routing te blokkeren werkt dit niet.
Ik heb een uitzondering gemaakt op de LAN-IN dat ik alle VLANS wil kunnen laten communiceren met de DNS Server 192.168.1.252 op poort 53. Dit lijkt niet te werken.

Wat wel werkt is de block voor inter-vlan communicatie firewall regel verwijderen, alle VLAN's in een groep stoppen behalve het LAN 1 netwerk, deze naar elkaar toe blokkeren en vervolgens een andere regel maken waarin ik dezelfde VLAN's de communicatie naar LAN 1 laat blokkeren.
Door de uitzondering toe te voegen dat er wel communicatie mogelijk is naar de DNS server, werkt het.

Nou probeer ik te begrijpen waarom dit wel werkt, misschien doe ik iets niet helemaal goed.
Kunnen jullie mij hiermee helpen?

Relevante software en hardware die ik gebruik
1x Ubiquiti Unifi Security Gateway (USG)
1x Ubiquiti Unifi 8 PoE Switch 150W
1x Ubiquiti UniFi AP AC PRO
1x Raspberry Pi 3 Model B+ (geïnstalleerd met Ubuntu 18.04 en Unifi Controller versie 5.10.20.
Verder is Pi-Hole er naast geïnstalleerd als DNS server.

Groet,

Mark

Hoi, bedankt voor je bericht!
Ik ben een beetje nieuw m.b.t. firewalls en probeer het een beetje te begrijpen hoe het werkt.

De connection states kunnen worden gebruikt om een firewall regel uit te voeren.
Bijvoorbeeld bij WAN IN zie ik standaard de regels allow established/related en een drop invalid session. Als ik het goed begrijp word dus al het verkeer wat van buitenaf komt dat niet een established/related connection state heeft gedropped.
Bijvoorbeeld: Ik ga naar een website toe, dat pakketje heeft een connection state "new" vervolgens antwoord de webserver met een pakketje met daarin een connection state "established" en wordt daarom toegestaan. Komt een webserver met een connection state "new" dan wordt deze gedropped. Klopt dit?


Als ik dan bijvoorbeeld naar LAN IN kijk en ik wil dus RFC1918 naar RFC1918 laten blokken, maar wel de Pi-Hole in het management VLAN benaderen dan kan ik dus de twee regels allow established/related en drop invalid session ook bij LAN IN toevoegen bovenaan?
Vervolgens een uitzondering maken dat alle VLANs kunnen communiceren met de Pihole.

Als ik dan bovenstaand verhaal vergelijk, dan worden dus alle pakketjes met de connection state "invalid" naar LAN IN gedropped, maar de connection state "established/related" toegelaten. Met de uitzondering maak ik dus met de clients verbinding vanaf de VLANs naar de DNS server, dus connection state is "new", vervolgens komt er vanaf de DNS server een reply met "established/related" en dit wordt toegestaan. Al het andere verkeer wordt dus automatisch geblokkeerd.
Klopt dit of zit ik er helemaal naast?

Zo ziet de LAN IN regel set eruit:
https://imgur.com/a/xOkJ5JX

Groet,

Mark