Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1
RSS
Помогите разобраться с правилами брандмауэра между разными зонами., wifiman
 
#1
25.01.2025 10:34:00
Когда я переходил на правила на основе зон, все мои правила умножились на 4. Например, "allow established and related" было в каждой зоне. Теперь я начал заново, и вот думаю, нужно ли устанавливать "allow established and related" в каждой зоне? Еще, когда использую VPN (WG), нужно ли устанавливать "allow established and related" от источника "VPN" к целевой зоне "Internal", если некоторые устройства должны быть доступны? И VPN к VPN? Тот же вопрос для Hotspot – они не должны общаться с моей внутренней сетью, но нужно ли им "allow established and related" от Hotspot к Hotspot? Мои правила для VPN пока выглядят так:
 
 
 
#2
05.02.2025 21:48:00
Спасибо! Я это настроил и создал правило брандмауэра для 3 устройств, которым всё ещё нужно было общаться в одной беспроводной IoT-VLAN. Но это не сработало, они не могут общаться. Правила ACL и MAC применяются только к коммутаторам, я не могу найти способ разрешить устройствам общаться и заблокировать все остальные в этой VLAN.
 
 
 
#3
01.02.2025 18:57:00
Кажется, все правила работают корректно, но блокировка "любой в любой" на внутренних блоках блокирует связь с другими VLAN, но устройства в одной и той же (v)lan все еще могут общаться. Как мне заблокировать связь между устройствами в одной (v)lan? Ещё, устройства Wi-Fi, похоже, могут общаться с устройствами на Ethernet-портах.
 
 
 
#4
26.01.2025 12:09:00
Мои новые правила: Получилось лучше? Всё ещё не уверен насчёт: "так что единственная функция "Все приватные адреса/RFC1918" нужна только в парах {Источник}-Внешняя зона". Я также создал "отбрасывание недействительного состояния" из внутренней в внешнюю, но обнаружил, что там уже есть стандартное правило, но никогда не видел логов блокировки недействительного состояния. Когда я создал пользовательское правило отбрасывания, стали показываться логи блокировки трафика. Но может быть, стандартное правило такое же, как и моё созданное?
 
 
 
Страницы: 1
Читают тему (гостей: 1)