CubelaPetar/notes
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

]

Browse Source
This commit is contained in:
Petar Cubela
2025-07-15 15:36:24 +02:00
parent f6398bf45c
commit 252a91dbcc
162 changed files with 4584 additions and 54 deletions
Download Patch File Download Diff File Expand all files Collapse all files

27
projects/sbx/firewall-std/sbx-rule-std.md Normal file
View File

@@ -0,0 +1,27 @@
### **Firewall-Regelkonfigurations-Tabelle**
| **Regel-ID** | **Quellzone** | **Zielzone** | **Quell-VLAN** | **Ziel-VLAN** | **Dienst/Port** | **Aktion** | **Notizen** |
|--------------|------------------------|--------------------|------------------------|----------------------|-------------------------------------------|--------------|-----------------------------------------------------------------------------|
| **1** | LAN | LAN | V10, V20, V30 | V10, V20, V30 | SMB (445), NTP (123), RPC (135) | Erlauben | Dynamische Ports (4915265535) für RPC [1] |
| **2** | LAN | LAN | V10, V20, V30 | V10, V20, V30 | LDAP (389/636), Kerberos (88/464), DNS (53) | Erlauben | Kritisch für die Authentifizierung [1] |
| **3** | LAN | LAN | V10, V20, V30 | V10, V20, V30 | RAW (9100) | Erlauben | Druckdienste (V60_LAN-Drucker → V10_LAN-Server) [1] |
| **4** | LAN | LAN | V10, V20, V30 | V10, V20, V30 | HTTP (80), HTTPS (443), SSH (22), TFTP (69) | Erlauben | Managementzugriff (V50_MGMT → V10_LAN-Server) [1] |
| **5** | LAN | WAN | V10, V20, V30 | V50_MGMT | HTTP (80), HTTPS (443), SSH (22), TFTP (69) | Entschlüsseln | Nutzen Sie den "Maximum Compatibility"-Verschlüsselungsprofil [1] |
| **6** | LAN | WAN | V20, V30 | V40_WLAN-Gast | Alle | Blockieren | Blockieren Sie alle Datenverkehr aus unvertrauenden Zonen [1] |
| **7** | DMZ (V40) | LAN | V40_WLAN-Gast | V10, V20, V30 | Alle | Blockieren | Zone-Isolationsregel [1] |
| **8** | DMZ (V40) | WAN | V40_WLAN-Gast | Alle | Alle | Blockieren | Verhindern Sie DMZ-Datenverkehr zu externen Netzwerken [1] |
| **9** | MGMT (V50) | LAN | V50_MGMT | V10, V20, V30 | Alle | Blockieren | Beschränken Sie den Management-Zugriff auf vertrauende LAN-Zonen [1] |
| **10** | MGMT (V50) | WAN | V50_MGMT | Alle | Alle | Entschlüsseln | Nutzen Sie das "Maximum Compatibility"-Verschlüsselungsprofil [1] |
| **11** | LAN | LAN | V60_LAN-Drucker | V10_LAN-Server | RAW (9100), SMB (445) | Erlauben | SMB optional für "Scan to Folder" [1] |
---
### **Wichtige Empfehlungen**
1. **Zone-Isolation**: Alle Datenverkehr zwischen **V40_WLAN-Gast** und anderen Zonen wird blockiert (Regel 6, 7, 8).
2. **Verschlüsselung**: Anwenden Sie "Maximum Compatibility" für verschlüsselten Datenverkehr (Regel 5, 10) [1].
3. **Dynamische Ports**: Nutzen Sie 4915265535 für RPC (Regel 1) [1].
4. **Management-Zugriff**: Beschränken Sie den MGMT-VLAN (V50) auf vertrauende LAN-Zonen (Regel 9) [1].
5. **Skalierbarkeit**: Nutzen Sie VLAN-spezifische IPs (z. B. 192.168.10.0/24 für V10), um Konflikte zu vermeiden [2].
Diese Tabelle gewährleistet **Sicherheit, Effizienz und Klarheit** und aligniert sich mit der VLAN-Struktur in `std-network.md` [2]. Lassen Sie mich wissen, wenn Sie weitere Anpassungen benötigen!