Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1 2 След.
RSS
Поддержка источника и назначения сети в правилах брандмауэра IPv6, feature-request
 
#1
13.12.2020 20:19:00
Запущена версия Network 6.0.42 на UDM Base... Пожалуйста, добавьте поддержку фильтрации по исходным и конечным сетям в правилах брандмауэра IPv6. В правилах брандмауэра IPv4 такая функция есть (первый скриншот), а в правилах IPv6 — нет (второй скриншот). Это важно, потому что управление через адресные правила IPv6 сильно ограничено. Например, когда префикс /64 для IPv6 предоставляется динамически провайдером, его нет возможности знать на момент написания правил. Было бы супер полезно иметь возможность задавать политики IPv6 на уровне сети или VLAN. Заранее спасибо!
 
 
 
#2
30.11.2024 03:34:00
Еще один голос в поддержку этой функции, что вполне логично, ведь всё больше и больше провайдеров это внедряют. Для тех, кто готов использовать SSH и иметь скрипты при загрузке, этот шаблон, кажется, отлично подходит:

ip6tables -I UBIOS_LAN_IN_USER 5 \
  -m comment --comment "Block IoT -> Core" \
  -m set --match-set UBIOS_ALL_NETv6_br4 src \
  -m set --match-set UBIOS_ALL_NETv6_br0 dst \
  -j DROP

ip6tables -I UBIOS_LAN_IN_USER 6 \
  -m comment --comment "Block IoT -> Home" \
  -m set --match-set UBIOS_ALL_NETv6_br4 src \
  -m set --match-set UBIOS_ALL_NETv6_br3 dst \
  -j DROP

Поскольку таблицы совпадений уже созданы, а эти правила практически повторяют логику IPv4, похоже, что единственное, что пока не поддерживает это — это админка.
 
 
 
#3
08.11.2024 22:49:00
Я сообщил о проблеме с безопасностью: "Правила трафика", которые могут брать сети в качестве источника/назначения, не поддерживают IPv6. То есть, если вы блокируете трафик из сети А в сеть В, Ubiquiti-файрволл блокирует IPv4, но с удовольствием пропускает трафик IPv6. Мой отчёт закрыли с пометкой «работает именно так, как задумано». Значит, Ubiquiti признаёт, что в их файрволле есть дыры — и это фича.

Привет, хакеры! Если вы в сети Ubiquiti, не забудьте использовать IPv6, чтобы обойти "Правила трафика", которые админы могли настроить для блокировки вашего доступа.
 
 
 
#4
11.10.2024 12:02:00
+1 IPv6 действительно невозможно использовать в средах с динамическими префиксами, если вы ориентируетесь на безопасность и работу фаервола.
 
 
 
#5
29.04.2024 19:09:00
Вот почему я описал это как обходной путь в интерфейсе, чтобы не усложнять жизнь с помощью консоли. Как можно создать правило с суффиксом через shell?
 
 
 
#6
29.04.2024 08:47:00
Не хочет, чтобы ты хотел. По крайней мере, с моей стороны. Так что через интерфейс это не работает.
 
 
 
#7
28.04.2024 08:20:00
У меня есть UCG-Ultra, и я пытался найти обходной путь для этого. Моё текущее решение — создать правило Internet v6 In для конкретного порта и оставить адрес назначения пустым. Если в сети нет устройства, которое отвечает на этот порт, дальше ничего не происходит, так мне кажется.

В то же время у меня есть проблемы с UPnP и моей Series X и PS5. Но помимо этого, мне действительно нравится, что наконец-то IPv6 появился в UniFi-устройствах. Раньше именно из-за отсутствия IPv6 я два года назад возвращал свой UDM.
 
 
 
#8
28.04.2024 07:55:00
Я получил очередной ответ от поддержки, и они сказали, что динамические хосты (или часть хоста в v6) пока недоступны. Моя «функция, о которой я говорил»:
 
 
 
#9
25.04.2024 19:45:00
К сожалению, нет. Вопрос в том, как заблокировать трафик между IPv6-хостами на основе IPv6-префикса (или VLAN), когда префикс меняется со временем, как при делегировании IPv6-префиксов. Если префиксы фиксированы, например, если провайдер выдает статические префиксы или используются ULAs, то правила можно настроить с помощью групп IPv6-адресов (Settings > Profiles > IPGroups).
 
 
 
#10
25.04.2024 18:57:00
Я получил ответ от поддержки tve. Они не понимают, в чем проблема (ну, конечно!), но я не отправлял вопрос, не разобравшись заранее. Просто пытаюсь... В ответ мне прислали скриншот интерфейса с полем Mac address для источника. Полей для назначения я не вижу, но если там тоже есть поле MAC, то, наверное, всё должно работать так, как нам нужно..?
 
 
 
#11
24.04.2024 15:45:00
@KluthR, @TheStarlord, на версии 8.1.124, которая вышла примерно две недели назад, эта функция недоступна на UDMB с версией 3.2.12. Есть более свежий релиз — 8.1.127. В его заметках к выпуску я не вижу упоминаний о этой функции. Пожалуйста, напишите, если в ваших тестах CGU будет что-то другое.
 
 
 
#12
24.04.2024 15:36:00
@KluthR, спасибо за ответ. Сегодня у меня тоже пришло подтверждение отправки предзаказа здесь, в Германии. Пожалуйста, сообщи, что выяснишь, потому что я хочу быть честным с моим продавцом и вернуть устройство (если потребуется, когда в правилах файрвола всё ещё не будет этой функции) в запечатанном виде. Есть ли какие-то обходные пути для постоянного добавления правил файрвола через SSH? Я нашёл только инструкции для старых устройств Edge.
 
 
 
#13
24.04.2024 03:40:00
UCG-Ultras снова появились вчера в некоторых немецких магазинах. Я взял один, и как только он у меня будет, я протестирую его для себя (и для вас ;) ).
 
 
 
#14
23.04.2024 20:39:00
Привет! Было бы интересно узнать, можно ли теперь создавать правила файрвола, указывая только ID интерфейса v6? Это единственная причина, по которой я не возвращаюсь к роутерам UniFi. Сейчас у меня Fritzbox и CloudKey с WiFi-точками доступа. Думаю о покупке UCG-Ultra. Заранее спасибо!
 
 
 
#15
22.04.2024 19:53:00
Я протестировал последнюю версию Network Manager (без шлюза, но можно просто добавить правила для «преднастройки»): я могу добавить часть идентификатора интерфейса v6 (начинающуюся с ::) в интерфейсе. Теперь это поддерживается или просто не проверяется из-за отсутствия шлюза в моём тесте?
 
 
 
#16
05.04.2024 18:02:00
@D3it7i На самом деле многие из этих функций реализованы на серверной стороне (посмотри предопределённые правила для подсетей в версии v6). В графическом интерфейсе с ними особо не покрутишь. Всё равно досадно, но есть разумный набор правил для основных вещей, чтобы прояснить ситуацию. Уверен, что это всё давно уже было (если смотреть на код из Edge/USG), но большую часть серверной части переписали для новых устройств, которые переходят с EdgeOS (Vyatta с некоторыми доработками) на UDM и последующие модели. Старые устройства уже имели большую часть этого маршрутизации, но для многого приходилось использовать скрипты или правки файлов (возможно, это было не так уж и сложно).
 
 
 
#17
05.04.2024 16:45:00
Так грустно, что сетевые функции unifi только красиво выглядят в графическом интерфейсе. Все остальные возможности далеко не так просты и мощны, как в opnsense и pfsense. Перенаправление портов IPv6, таблица адресов FQDN, сопоставление префиксов IPv6 — это вещи, которые требуются уже несколько лет, но до сих пор не реализованы.
 
 
 
#18
04.03.2024 18:55:00
Постепенно добавляют новые штуки, например теперь можно смотреть свои сегменты на странице Network-Status, и возможность задать префикс VLAN для DHCPv6 действительно присутствует, просто сейчас она отключена (я ещё не пробовал редактировать страницу, может быть, тогда получилось бы это настроить, кто знает).
 
 
 
#19
04.03.2024 03:44:00
Ubiquiti стоит больше внимания уделить IPv6. Следовало бы добавить возможность использовать IPv6-сети в правилах файрвола и устанавливать пользовательский Prefix Delegation ID как функцию.
 
 
 
#20
10.01.2024 19:09:00
@d56fg33 Да, у нас примерно так же, по крайней мере для жилых домов. Дело в том, что многие провайдеры почти никогда не меняют твой пул v6. Например, у меня на Comcast-cable был один и тот же пул больше двух лет, а в прошлом году его сменили (правда, если честно, я специально перепрошил модем по другой причине, так что, может, из-за меня и произошло обновление), и с тех пор около 9 месяцев все стабильно, на новом подсети. Я видел много постов, где люди жалуются, что их провайдеры держат один и тот же пул очень долго, но встречал и тех, кто говорит, что их DHCPv6 пулы обновляются регулярно, хотя таких немного. Конечно, мой опыт — это всего лишь пара форумов и не слишком репрезентативно. Полностью согласен, что правильные, именованные правила для DHCPv6 — это единственно верный путь, и я уверен, что именно туда и движется интерфейс, просто сейчас это не в приоритете, а может завтра как раз выкатят, кто знает... 😳😁
 
 
 
Страницы: 1 2 След.
Читают тему (гостей: 1)