Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1
RSS
Правила брандмауэра на USG PRO, UniFi Network
 
#1
12.04.2025 04:02:00
Заменил полноценный файрвол (Sophos XG) на Unifi USG Pro для клиента. У них три VLAN: LAN для всех пользовательских устройств как 192.168.1.0/24, PRINTERS для всех принтеров как 192.168.2.0/24 и MGMT для всех управляющих устройств (коммутаторов, шлюз и т.д.) как 192.168.3.0/24. IP-адреса шлюза – .1 для всех VLAN. Без дополнительных правил файрвола, кроме стандартных, всё работает отлично, но все видят всё, нет меж-VLAN ограничений.

Что я пытаюсь воспроизвести, так это следующие ограничения:

*   Все могут выходить в Интернет
*   Устройства LAN могут печатать на VLAN PRINTERS
*   Устройства MGMT могут достучаться до всего остального
*   Всё остальное, что не указано явно, должно быть заблокировано

Если смотреть на каждую пару источник/назначение, то получается:

*   Любой в Интернет: Разрешить всё
*   Интернет в любой: Разрешить related, established
*   Устройства LAN к шлюзу LAN: Только ping
*   Устройства LAN к устройствам MGMT: Заблокировать всё
*   Устройства LAN к шлюзу MGMT: Заблокировать всё
*   Устройства LAN к устройствам PRINTERS: Разрешить всё
*   Устройства LAN к шлюзу PRINTERS: Заблокировать всё
*   Устройства PRINTERS к шлюзу PRINTERS: Только ping
*   Устройства PRINTERS к устройствам MGMT: Заблокировать всё
*   Устройства PRINTERS к шлюзу MGMT: Заблокировать всё
*   Устройства PRINTERS к устройствам LAN: Разрешить related, established
*   Устройства PRINTERS к шлюзу LAN: Заблокировать всё
*   Устройства MGMT к шлюзу MGMT: Разрешить всё
*   Устройства MGMT к устройствам LAN: Разрешить всё
*   Устройства MGMT к шлюзу LAN: Разрешить всё
*   Устройства MGMT к устройствам PRINTERS: Разрешить всё
*   Устройства MGMT к шлюзу PRINTERS: Разрешить всё

Не представляю, как сформулировать это с помощью правил файрвола USG PRO. Либо я блокирую слишком много, либо слишком мало.

Концептуально, кажется, понимаю LAN In (любой пакет, поступающий на интерфейсы LAN), LAN Out (любой пакет, выходящий через интерфейсы LAN) и LAN Local (любой пакет для самого USG), но это не помогает мне разобраться в этой, казалось бы, простой задаче (по крайней мере, это очень просто с правилами зон на XG или SonicWALL).

Есть ли у кого-нибудь тут "волшебная формула" для этого? Я не могу быть первым, кто пытается добиться такого уровня изоляции (ох, да, опция "Isolate Network" для каждой VLAN ничего не блокирует, но это, очевидно, известная проблема, её нужно решать с помощью правил файрвола).

Заранее спасибо!
Christian
 
 
 
#2
12.04.2025 14:39:00
Не вижу никаких причин считать локальный шлюз локальной сети чем-то отличным от остальных шлюзов. Можете привести какие-нибудь обоснования? Кажется, это можно упростить до всего нескольких правил брандмауэра.

*   LAN Local: Запретить локальной сети доступ к портам управления шлюзом. Решает проблему с устройствами LAN, подключенными к шлюзу управления.
*   Устройства LAN к шлюзу печати: Запретить доступ всем устройствам LAN к шлюзу печати.
*   Устройства LAN к локальному шлюзу: Разрешить только ping.
*   LAN Local: Запретить принтерам доступ к портам управления шлюзом. Решает проблему с устройствами PRINTERS, подключенными к шлюзу управления.
*   Устройства PRINTERS к локальному шлюзу: Запретить доступ всем устройствам PRINTERS к локальному шлюзу.
*   Устройства PRINTERS к шлюзу печати: Разрешить только ping.
*   LAN In: Разрешить печати локальной сети; Установленные/связанные; Решает проблему с устройствами PRINTERS, подключенными к устройствам LAN: Разрешить связанные, установленные.
*   LAN In: Разрешить локальной сети печати; Разрешить все; Решает проблему с устройствами LAN, подключенными к устройствам PRINTERS: Разрешить все.
*   LAN In: Разрешить управлению всеми; Решает проблему с устройствами MGMT, подключенными к устройствам LAN и устройствам PRINTERS: Разрешить все.
*   LAN In: Запретить RFC1918 RFC1918; Решает проблему с устройствами LAN, подключенными к устройствам MGMT и устройствам PRINTERS: Запретить все.
 
 
 
#3
12.04.2025 14:15:00
Обычно нельзя просто заблокировать всё на шлюз. Если вы хотите, чтобы клиенты использовали шлюз для DHCP и DNS, нужно разрешить этот трафик. Скорее всего, вам также понадобится разрешить другой трафик на шлюз. Самое простое решение здесь — просто заблокировать доступ к портам управления 22, 80 и 443. Можно и заблокировать сильнее, но тогда вам придется использовать логирование, чтобы видеть, что блокируется и чего вы не учли, а затем создавать исключения. Похоже, правила у вас уже есть. Что сломалось? Возможно, стоит немного замедлиться, добавлять/включать по одному правилу и тщательно их тестировать по ходу.
 
 
 
Страницы: 1
Читают тему (гостей: 1)