Заблокировал доступ к портам UDM-P.

Заблокировал доступ к портам UDM-P., wifiman

sdhnewman

Guest

05.02.2025 18:54:00

Хочу ограничить устройства в VLAN только необходимыми портами/протоколами на UDM-P (например), чтобы клиентское устройство было функциональным. VLAN настроен как гостевая сеть, поэтому изоляция клиентов активна. На этой сети нет страницы приветствия, и я буду управлять UDM-P из другой VLAN или через UniFi удаленный доступ. По моим предположениям: 53 dns (UDP/TCP), 67 dhcp (UDP), 68 dhcp (UDP), 123 ntp (UDP). Есть ли еще какие-то порты, к которым должен быть доступ?

Конкретная VLAN в моей сети – это публичный Wi-Fi в публичной библиотеке. В последнее время пара ноутбуков пытались взломать UDM-P. Эти попытки были заблокированы IDS/IDP, но я не хочу на это полагаться.

Обратите внимание: я использую межсетевой экран на основе зон.

Спасибо!

RobbieH Guest	#2 05.02.2025 19:23:00 Поместите их на отдельную VLAN и (кто-нибудь, кто разбирается в новых правилах файрвола, помогите мне тут, я уже отжил свое время с правилами Unifi), нужно настроить правила файрвола, блокирующие 8080 на LAN LOCAL.

sdhnewman Guest	#3 06.02.2025 20:26:00 Спасибо @RobbieH, @FrankNicklin и @travis.vitek.

travis.vitek

Guest

06.02.2025 01:20:00

Если вы используете новый файрвол на основе зон, зона Hotspot уже настроена для разрешения доступа к шлюзу для DNS, ICMP, DHCP, RADIUS, и блокирует всё остальное. Вы можете просто переместить эту сеть в зону Hotspot и всё будет готово.

Если вы не хотите использовать зону Hotspot, вы можете настроить это сами. Вам потребуется создать политику, которая разрешает DHCP (UDP 68 -> 67) с этой сети/зоны к шлюзу. Если вы включили IPv6 на этой сети, вам также следует разрешить DHCPv6 (UDP 546 -> 547). Возвратный трафик от шлюза разрешен по умолчанию, так что этим заниматься не нужно.

Если вы настраиваете параметры DHCP для выдачи публичных DNS-серверов, например, 1.1.1.1 и 1.0.0.1, вам не нужно открывать DNS на шлюзе. В противном случае вам потребуется разрешить DNS (TCP/UDP Any -> 53).

Шлюз не работает NTP, поэтому нет необходимости это открывать тоже.

Очевидно, вам понадобится новое последнее правило, чтобы блокировать всё остальное, что не было обработано ранее. Если вы хотите отслеживать, что блокируется, вы можете найти это в System Log > Triggers.

FrankNicklin Guest	#5 05.02.2025 19:31:00 Блокируем внутренний трафик к шлюзу и выбираем группу портов IP-объекта – по крайней мере, так зона-ориентированный файрвол обновил мое предыдущее правило.

FrankNicklin Guest	#6 05.02.2025 19:16:00 Создайте группу IP с портами http, https и ssh, а также любые другие, которые вам нужны, и правило для блокировки доступа к этим портам к вашему шлюзу.

sdhnewman

Guest

05.02.2025 19:09:00

Я хочу, чтобы клиенты чувствовали себя свободными при доступе в интернет. Но если они обращаются к шлюзу, я хочу ограничить порты, к которым они могут получать доступ на этом шлюзе. Например, попытка взлома была направлена на порт 8080 на шлюзе. Я не хочу, чтобы устройства в этой VLAN могли это делать.

RobbieH Guest	#8 05.02.2025 19:01:00 Технически, они были обнаружены IDS, и предотвращены IPS. Когда вы говорите, что вам нужно, чтобы клиентское устройство было функциональным, какие порты ему доступны, зависит от того, что нужно для его функциональности. Например, если клиентам нужен только доступ к RDP через интернет, это другой набор портов, чем тот, что потребуется клиенту для просмотра веб-страниц и т.д. 53, вероятно, не нужно открывать, ваши клиенты же подключаются к вашему шлюзу для DNS? То же самое с DHCP, зачем вам их открывать? Обычно то же самое относится и к NTP.

Читают тему (гостей: 1)