Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1
RSS
Правила, основанные на зонах, не работают., wifiman
 
#1
03.03.2025 14:41:00
Привет, я новичок в UniFi и только что всё настроил. Создал несколько планов для камер, гостевой и стандартный, и перенёс устройства туда. Это работает хорошо, так что следующий шаг — создание правил брандмауэра, как я хочу, чтобы всё работало. Например, простое правило для начала: заблокировать любое устройство из сети IoT от доступа к шлюзу. Ничего сложного, думал я. Итак, для тестирования я переключился в сеть IoT и запустил ping к адресу шлюза, он ответил, разумеется, никакого правила брандмауэра не было добавлено. Но даже после добавления правила он продолжает отвечать на ping, я сейчас внутри сети IoT со своим компьютером, следовательно, меня должно быть заблокировано. Вообще не понимаю, в чём проблема, кто-нибудь может подсказать или дать советы?
 
 
 
#2
05.03.2025 03:15:00
Уже есть зона Gateway. Создавать новую с таким же именем не нужно. Удалите вашу новую зону и обновите политику брандмауэра, чтобы Destination zone использовала *существующую* Gateway zone.
 
 
 
#3
03.03.2025 21:57:00
В общем, для тестов я создал зону шлюза (192.168.0.0), где у меня шлюз и небезопасная зона для IoT (192.168.2.0) и всякого "защищённого" (192.168.4.0). После создания все эти зоны были заблокированы друг от друга, то есть, насколько я понимаю, с сети IoT, к которой подключён мой ноутбук, я не должен иметь возможность зайти на URL шлюза в сети шлюза, верно? Я не говорю о URL шлюза в небезопасной зоне, например 192.168.2.1 или 192.168.4.1, я всё равно могу открыть URL шлюза в сети шлюза 192.168.0.1. Но я на небезопасной сети, и всё равно могу открыть URL шлюза в сети шлюза, почему? Я же не просто пытаюсь пинговать его, а открываю URL. В чём смысл правил, если блокировка не блокирует? Или я неправильно понимаю работу файрволов и мне нужно блокировать порты отдельно, а не просто саму сеть?
 
 
 
#4
03.03.2025 15:03:00
Создайте группу портов, включающую 80, 443 и 22, и используйте её, чтобы заблокировать доступ к шлюзам. Проблемы с пингом нет, важно, чтобы клиенты не могли получить доступ к URL-адресу шлюза или по SSH.
 
 
 
#5
03.03.2025 15:03:00
Адрес шлюза, к которому вы пытаетесь заблокировать доступ, находится в зоне шлюза, а не в StargateCenter IoT. Исходя из вашей конфигурации, вам нужна политика от StargateCenter IoT к зоне шлюза. Возможно, вы находитесь в процессе отладки, но, вероятно, вы не хотите блокировать весь трафик к шлюзу. Если вы это сделаете, скорее всего, заблокируете DHCP и DNS, что не очень поможет. Также, похоже, ваша политика пытается заблокировать трафик к 192.168.2.1, но ничего не делает для трафика к 192.16.1.1. Все шлюзы доступны из всех сетей, если вы их не блокируете, поэтому вам нужно учитывать это при настройке политик. Обычно вы либо хотите политику для блокировки портов управления (22, 80, 443) из вашей незащищенной зоны в зону шлюза. Или можно сделать это двумя правилами: одно для разрешения DHCP и DNS, а другое — для блокировки всего остального. Если вы пойдете вторым путем, то, вероятно, проведете несколько часов, изучая логи, чтобы понять, что еще нужно разрешить.
 
 
 
Страницы: 1
Читают тему (гостей: 1)