Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1
RSS
Блокировать доступ WAN к веб-интерфейсу на USG, UniFi Network
 
#1
11.09.2017 21:55:00
Здравствуйте, хочу отключить доступ к интерфейсу USG по WAN, может кто-то рассказать, как это сделать? USG3P - 4.3.60.5012138 Controller 5.6.16
 
 
 
#2
17.10.2018 20:16:00
Хорошо... решил свою проблему. Мне нужно было выбрать «Use VLAN ID» в настройках WAN сети. Это часть разрозненных инструкций, которые я упустил. Это уже третий раз, когда я перенастраивал всё с нуля и сбрасывал до заводских настроек. После того, как я это выбрал, я больше не смог попасть на свой USG из интернета. Хотя, думаю, это решение не универсальное, а только для тех, кто пытается обойти AT&T, как в статье, на которую я ссылался в предыдущем посте.
 
 
 
#3
17.10.2018 19:38:00
У меня тоже такая проблема. Когда я захожу на http://WAN_IP/ из вне своей домашней сети (например, с работы), я вижу страницу входа в мой USG. Моя настройка описана здесь: https://community.ui.com/questions/2d8b1559-4623-40bb-9aae-af0348dd39a8 Чтобы порт-форвардинг вообще заработал, мне пришлось добавить "port-forward": {"wan-interface": "eth0.0"}, как видно ниже. Что именно делает эта запись? В любом случае я не думаю, что именно это в этом виновато. Когда я удаляю это из своего json-файла (то есть убираю возможность проброса портов) и принудительно применяю настройки, я всё равно могу зайти на свой USG из интернета по http://WAN_IP/. Также, чтобы вообще выйти в интернет, мне пришлось добавить правило NAT. Может ли это быть причиной? Что именно включает эта настройка? Вот копия config.gateway.json на моём Cloud Key:

{
 "interfaces": {
   "ethernet": {
     "eth0": {
       "vif": {
         "0": {
           "mac": "e0:22:04:05:d0:04"
         }
       }
     }
   }
 },
 "port-forward": {
   "wan-interface": "eth0.0"
 },
 "service": {
   "nat": {
     "rule": {
       "5010": {
         "description": "masquerade for WAN",
         "outbound-interface": "eth0.0",
         "protocol": "all",
         "type": "masquerade"
       }
     }
   }
 }
}
 
 
 
#4
29.05.2018 16:18:00
Это просто позволяет возвращать ответный трафик по соединениям, которые были установлены исходящими. Оно не разрешает никакой трафик, инициированный с Интернета. Это необходимо для работы DNS, загрузки обновлений, тестов скорости, проверки задержек и так далее. Правило «drop invalid» удобнее добавлять после заранее заданных правил, если кто-то захочет это сделать.
 
 
 
#5
28.05.2018 19:41:00
Я в этом не уверен.

@UBNT-cmb, ты прав, что правила, о которых говорил @marty_akl, изначально не установлены, но вот как выглядит мой WAN_LOCAL в сети с включённым Unifi Cloud. У меня трёхпортовый USG, 12-портовый Edgemax Fiber свитч, куча разных Unifi Switch, cloud key и Unifi AP PRO. Я не могу удалить ни одно из этих правил.
 
 
 
#6
08.05.2018 07:15:00
Просто таких правил по умолчанию не существует. По умолчанию на WAN_LOCAL правил нет, а это значит, что весь входящий трафик из интернета блокируется. Если у вас есть правила на WAN_LOCAL, значит, вы их добавили, и вы можете их удалить.
 
 
 
#7
03.05.2018 02:41:00
Только что общался с техподдержкой по этому вопросу. Невозможно изменить или удалить стандартные правила, которые разрешают доступ по портам 22, 80 и 443 на интерфейсе WAN!!! Это же полный бред... Разберитесь с этим, Ubiquiti.
 
 
 
#8
15.03.2018 15:41:00
Либо UPnP что-то открыл, либо это выше по цепочке, чем USG, например, ваш модем. На самом USG вас не будет никто просить ввести HTTP basic auth.
 
 
 
#9
15.03.2018 15:31:00
Редактирую: Пообщавшись с одним из поставщиков владельца, выяснилось, что была система видеорегистратора с камерой, которая раньше была настроена на порт 80, и этот порт был проброшен — именно она и вызывает появление запроса базовой HTTP-аутентификации. Понимаю. Но тогда, учитывая скриншот WAN-Local ниже, почему я всё равно вижу запрос базовой HTTP-аутентификации при обращении к своему WAN IP?
 
 
 
#10
15.03.2018 15:23:00
По умолчанию на WAN_LOCAL нет никаких правил, что означает блокировку всего подряд. Чтобы WAN_LOCAL был доступен из Интернета, необходимо добавить пользовательские правила пропуска.
 
 
 
#11
15.03.2018 13:18:00
Похоже, у меня всё ещё проблема — в firewall WAN-LOCAL отсутствуют стандартные правила по умолчанию. Я добавил два правила: для HTTP и для HTTPS, но, похоже, работает только правило для HTTPS, потому что я всё ещё могу зайти на HTTP с нашего WAN IP с телефона, когда он на 4G (я специально проверял не с Wi-Fi, чтобы не путаться).  

 
 

Я уже принудительно обновил настройки USG, чтобы убедиться, что firewall правила точно должны быть там. Что я упускаю?
 
 
 
Страницы: 1
Читают тему (гостей: 2)