Wat is de invloed van een "extra" firewall op UPnP Portmapping ?

[Ikke85]

Beste Forumleden,

Aangezien ik na mijn zoektocht op internet en een post op het Proximus-forum nog met vragen zit, zou ik graag mijn vraag aan jullie voorleggen.

Situatieschets:
Doordat de DNS-server op de Bbox3 niet aangepast kan worden wanneer je inlogt als 'user' en ik er een andere wil gebruiken, heb ik de DHCP-server op de Bbox3 uitgeschakeld. Hierdoor zal mijn 'eigen' DHCP-server (die draait op een raspberry pi) aan alle toestellen ineens ook de ‘gewenste’ DNS-server meegeven. Mijn 'eigen' DHCP-server heeft uit veiligheidsoverwegingen ook een ‘eigen’ firewall (UFW - Uncomplicated Firewall). Deze staat echter achter die van de Bbox3 en laat alle uitgaand verkeer door en blokkeert bepaald inkomend verkeer. De Bbox3 is mijn default gateway.

opbouw van mijn netwerk:
gsm, tablet, laptop → 'eigen' DHCP- en DNS-server (met ‘eigen’ firewall) → Bbox3 → * internet *

Vraag:
Ik vroeg mij dus af of de in bijlage afgebeelde regel op de Bbox3 zal blijven werken ?
Of moet ik hetzelfde nog eens instellen op de firewall van mijn 'eigen' DHCP- en DNS-server ? (owv de situatieschets / opbouw hierboven zou ik denken van niet, maar tot op heden heeft er nog niemand mij hierover uitsluitsel kunnen geven.)

Alvast hartelijk dank voor jullie antwoord.

MVG,
Tim

[tdemeyer]

Je redenering over de flow van je internetverkeer is verkeerd..

Je verkeer in/out loopt niet over/door je DNS/DHCP server zoals jij voorstelt...

Als ik er mag van uitgaan dat je dezelfde DHCP range hebt gebruikt als oorspronkelijk op de BBOX, maar enkel de DNS server hebt aangepast (naar je eigen DNS server + een correcte forwarder op die dns server), dan verloopt het netwerkverkeer nog altijd op identiek dezelfde manier als voorheen.

De enige wijziging is dat je lokale clients hun DNS queries gaan resolven naar je eigen server..

Als je je DHCP/DNS server absoluut wil dichttimmeren, dan volstaat om inkomend enkel DHCP en DNS requests toe te laten...

[blaatpraat]

Antwoord is: nee.

Uitgebreider: er zijn er 2 scenario's mogelijk:
Je eigen DHCP server deelt als gateway zichzelf uit (zodat deze optreedt als firewall) ofwel het IP van de BBOX (en zoals tdemeyer al stelde is dan enkel de DNS entry gewijzigd).
In geval van het laatste: jouw firewall komt er niet aan te pas.
In geval van het eerste: jouw firewall komt er enkel aan te pas voor traffiek die van je LAN naar buiten gaat, niet in omgekeerde richting, dus biedt dit op zich geen meerwaarde (aangezien je zelf al stelt dat je van binnen naar buiten alles wilt doorlaten).

[Ikke85]

Als ik er mag van uitgaan dat je dezelfde DHCP range hebt gebruikt als oorspronkelijk op de BBOX, maar enkel de DNS server hebt aangepast (naar je eigen DNS server + een correcte forwarder op die dns server), dan verloopt het netwerkverkeer nog altijd op identiek dezelfde manier als voorheen.

Dag tdemeyer, hartelijk dank voor je reactie. Het klopt inderdaad dat ik de DHCP range behouden heb: 192.168.1.XX. (Ik heb de DHCP server op de BBox3 wel uitgeschakeld.)
Wat bedoel je met een "een correcte forwarder op die DNS" ?

Als je je DHCP/DNS server absoluut wil dichttimmeren, dan volstaat om inkomend enkel DHCP en DNS requests toe te laten...

Neen, het is net de bedoeling dat AnyDesk nog gebruikt kan worden (en dus zowel uitgaand als inkomend verkeer over de vermelde poort wordt toegestaan). Moet ik dit dan nog eens extra toestaan in UFW (firewall op de raspberry pi) ?

Alvast hartelijk dank.

MVG,
Tim

[Ikke85]

Je eigen DHCP server deelt als gateway zichzelf uit (zodat deze optreedt als firewall) ofwel het IP van de BBOX (en zoals tdemeyer al stelde is dan enkel de DNS entry gewijzigd).
In geval van het laatste: jouw firewall komt er niet aan te pas.
In geval van het eerste: jouw firewall komt er enkel aan te pas voor traffiek die van je LAN naar buiten gaat, niet in omgekeerde richting, dus biedt dit op zich geen meerwaarde (aangezien je zelf al stelt dat je van binnen naar buiten alles wilt doorlaten).

Dag blaatpraat, hartelijk dank voor je antwoord. Als ik het goed begrijp, geldt voor mij dan situatie 2 (IP van de Bbox3 als gateway).
Wanneer ik dan vervolgens jouw antwoord en dat van tdemeyer combineer, snap ik je "neen" niet aangezien je schrijft dat in het laatste geval mijn firewall er niet aan te pas komt. Kan je dit voor mij verduidelijken aub ?
(Ter aanvulling: UFW heb ik geïnstalleerd als beveiliging op de raspberry pi zelf, niet als beveiliging voor mijn netwerk.)
Zoals in m'n antwoord hierboven ook vermeld, is het net de bedoeling dat Anydesk nog zowel uitgaande verbindingen kan opzetten als inkomende verbindingen kan ontvangen. Moet ik dit dan ook nog toestaan in UFW (de firewall op de raspberry pi) ?

Alvast hartelijk dank.

MVG,
Tim

[tdemeyer]

Wat bedoel je met een "een correcte forwarder op die DNS" ?

Als je je eigen DNS server draait (dus: het IP van je DNS server is het adres dat je via DHCP of hardcoded op de client uitdeelt aan de toestellen binnen je eigen netwerk als zijnde de enige DNS server die ze kunnen/mogen gebruiken), dan moet die DNS server alle DNS requests die hij zelf (nog) niet kan resolven doorsturen naar een volgend niveau.

Dat volgend niveau kan om het even welke publiek gekende DNS server zijn (de klassiekers: 8.8.8.8, 1.1.1.1, etc.. naar keuze), maar als je niet oplet staat je DNSserver ingesteld met het IP adres van je bbox als next hop...

Persoonlijk zou ik voor een thuisnetwerk nooit een eigen DNS server gebruiken, tenzij die server ingezet wordt om het internet verkeer te filteren (Pihole en aanverwanten). Ik zou alternatieve DNS servers rechtsreeks aanbieden aan de clients via DHCP.. Het scheelt je in veel gevallen 1 extra hop bij het resolven. Niet dat dit gigantisch veel verschil uitmaakt, maar alle beetjes helpen.

[Ikke85]

Persoonlijk zou ik voor een thuisnetwerk nooit een eigen DNS server gebruiken, tenzij die server ingezet wordt om het internet verkeer te filteren (Pihole en aanverwanten). Ik zou alternatieve DNS servers rechtsreeks aanbieden aan de clients via DHCP.

Beste tdemeyer, hartelijk dank voor die verduidelijking. Ik ga inderdaad Pihole gebruiken voor webfiltering. Als DNS server zou ik "CleanBrowsing DNS Adult Filter" willen gebruiken. Wat bedoel je met "DNS rechtstreeks aanbieden" ? Volstaat het niet om die DNS in te geven in de Pihole ?
Doordat Pihole ook als DHCP optreedt, stuurt die toch ook de DNS mee.

Het is echter voor mij ook nog niet duidelijk of ik in UFW nog een regel moet instellen of in Pihole nog AnyDesk moet White listen.

Alvast hartelijk dank.

MVG,
Tim

[tdemeyer]

Aangezien je Pihole gaat gebruiken vervalt meteen ook mijn suggestie om een externe DNS server (via DHCP of handmatig ingesteld) in te stellen op de clients binnen je netwerk..

En opnieuw: er loopt geen internet verkeer over de pihole, dus wijzigt er eigenlijk niets aan je netwerksetup. (of je zou, zoals hiervoor reeds opgemerkt, je PiHole als default gateway moeten instellen. Maar ik twijfel zelf even of dat out-of-the box zomaar zou werken (routing software nodig?)

[Ikke85]

En opnieuw: er loopt geen internet verkeer over de pihole, dus wijzigt er eigenlijk niets aan je netwerksetup.

Dag tdemeyeer, hartelijk dank voor je antwoord. Normaalgezien is dan nu alles ingesteld. Merci voor de geboden hulp.

MVG,
Tim