Новая зональная брандмауэр.

Новая зональная брандмауэр., wifiman

a.fulkerson89

Guest

03.02.2025 00:50:00

Привет, я тут копался и пока не нашёл много информации. Слышал и читал кучу противоречивых объяснений этого правила. Объяснение этого правила в Unifi звучит как "Соответствовать всему _____ Кроме выбранного". Получается, что ищутся все порты или IP-адреса, кроме тех, что указаны? Или же это те порты/IP, которые соответствуют, а всё остальное игнорируется? Если кто-то смог бы объяснить и привести быстрый и понятный пример, буду очень благодарен. Говорят, это та фишка, которую многие ждали в новой ОС.

travis.vitek

Guest

04.02.2025 08:04:00

Я что-то очевидное упускал. Ты говорил об одной политике на сеть в зоне, чтобы разрешить неадминистративный трафик только к шлюзу этой сети, и блокировать весь другой трафик шлюзов (к другим IP-адресам шлюзов и к административным портам локального шлюза). А я говорил об одном правиле зоны, чтобы заблокировать административный трафик ко всем шлюзам и разрешить всё остальное. Не то же самое.Чтобы сделать то, о чем ты говорил, без Match Opposite, нужно заблокировать административные порты к шлюзовой зоне, разрешить сети к локальному шлюзу для каждой сети и заблокировать всё остальное. Или нужно явно перечислить все остальные IP-адреса шлюзов в своих политиках, что чревато ошибками, особенно если после создания политик добавляется новая сеть.Тем не менее, я никогда до конца не понимал, почему важно блокировать ВЕСЬ трафик на другие IP-адреса шлюзов и затем блокировать только административный трафик на IP-адрес локального шлюза. Должна быть какая-то причина, чтобы не блокировать весь трафик к административным портам на все адреса шлюзов.

travis.vitek

Guest

04.02.2025 03:01:00

Я, наверное, что-то упускаю из виду, что очевидно. Если у вас есть 3 сети в внутренней зоне, то эти наборы политик дают абсолютно одинаковый результат, когда вы пытаетесь заблокировать управляющий трафик к шлюзу:
* Allow Management Device to Gateway Management Ports
* Block Zone to Gateway Management Ports
* Default Rule; Allow All
и
* Allow Management Device to Gateway Management Ports
* Allow Zone to Gateway except Management Ports (using Match Opposite)
* Block All
* Default Rule; Allow All

Как мне кажется, проходит абсолютно тот же трафик, и блокируется абсолютно тот же трафик. Ничего не сохранено, и единственное, что получено – это то, что эффективным последним правилом будет "Заблокировать всё".

Я понимаю, что Match Opposite может позволить сделать исключение без дополнительного правила, дублирующего логику, но в данном случае это не так.

a.fulkerson89 Guest	#4 03.02.2025 16:26:00 Звучит отлично. Спасибо вам обоим за ваши комментарии.

travis.vitek

Guest

03.02.2025 16:07:00

Да. Если ваша цель — заблокировать всё по умолчанию, а затем разрешить только несколько конкретных вещей, то обычно используются конкретные политики разрешения, а затем общая политика блокировки. Обычно нет необходимости использовать Match Opposite для этого.

a.fulkerson89

Guest

03.02.2025 14:16:00

По поводу правила разрешения: будет ли это похоже? Если поставить галочку напротив "Match opposite unchecked" — разрешится порт 443, а если галочку снять — разрешится всё, кроме порта 443. В моём конкретном случае это VLAN для VoIP, и мне нужно разрешить определённые порты из этого VLAN. А теперь, если подумать, у меня нет правил, которые бы что-то блокировали. Получается, эти правила разрешения вообще нужны?

travis.vitek Guest	#7 04.02.2025 21:23:00 Просто потому, что ты хорошо написал пост, это не значит, что я хорошо его прочитал. Да, и DNS, если ты используешь шлюз как DNS-сервер для этой сети.

Читают тему (гостей: 1)