Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1
RSS
Межсетевой перебор VLAN в сети IoT не работает., wifiman
 
#1
26.01.2025 12:03:00
Не уверен, что я делаю что-то не так. Все правила Vlan to Vlan работают отлично (входящие/исходящие для сети IoT), но я хочу заблокировать доступ между устройствами в VLAN IoT, а это никак не получается. Тестирую с ноутбука в сети IoT и по-прежнему могу открывать веб-страницы для настройки и т.д. на любом устройстве, где есть такая опция. Им не нужно друг с другом общаться. Эти правила кажутся мне в порядке, но работают не так, как ожидалось. Запрет всего трафика IoT на IoT звучит логично, и порядок всего выглядит правильно
 
 
 
#2
26.01.2025 17:14:00
Ах, понятно. Я пропустил, что зоны могут содержать более одной Network, теперь всё сходится, спасибо, что прояснили.
 
 
 
#3
26.01.2025 17:13:00
Спасибо, @Frank, наверное, я слишком заморачиваюсь. У меня куча Shelly-устройств в моей IoT-сети с веб-интерфейсами для управления, статистики и т.д. Хочу иметь к ним доступ из моей основной сети, но нет нужды получать к ним доступ изнутри IoT-сети. Например, если устройство в этой сети (IoT) будет скомпрометировано, не хочу, чтобы доступ к этим веб-интерфейсам был доступен. Там особо и нет нужды, чтобы что-то внутри сети общалось друг с другом, поэтому я думал, просто разрешить им выходить наружу, а не East/West.
 
 
 
#4
26.01.2025 13:49:00
Я не думаю, что это так. Это трафик VLAN, попытки блокировки портов – это все равно правило FW, которое никогда не реализовано. Блокировка портов должна быть на самом устройстве, а это, конечно, сделать нельзя. Просто интересно, зачем вам нужно блокировать IoT-устройства друг от друга? Что вас беспокоит?
 
 
 
#5
26.01.2025 13:46:00
Только что задумался об этом и хотел узнать, так ли это работало до твоего ответа. Ну, технически это не покидает VLAN, так что не доходит до FW. Не уверен, в чем смысл автосозданного правила, если оно блокирует IoT к IoT, если его никогда не затронет. Есть ли способ добиться того, что мне нужно? Даже если это блокировка определенных портов от доступа с других устройств в этой VLAN? Смотрел ACL, но они не позволят это, если устройства в одной сети.
 
 
 
#6
26.01.2025 13:40:00
Вообще-то, как правило, правила брандмауэра не применяются к трафику в пределах одной VLAN. Он перемещается напрямую от коммутатора к коммутатору. Брандмауэры могут фильтровать только трафик, который через них проходит. НО… ходят слухи, что новая система ZBF может генерировать коммутаторные ACL. Это позволит фильтровать трафик внутри одной VLAN, если у вас коммутаторы уровня 3… возможно… @UI-Glenn мог бы прояснить этот вопрос. Если нет, то UI ZBF должен выдавать ошибку, чтобы не разочаровывать людей.
 
 
 
Страницы: 1
Читают тему (гостей: 1)