Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1
RSS
Конфигурация брандмауэра USG-PRO-4, UniFi Network
 
#1
01.10.2016 00:09:00
Я занимаюсь выводом из эксплуатации Cisco 3845, который на данный момент для моих задач — просто избыточен. Однако, разбирая ACL для входящего WAN-трафика, столкнулся с проблемами при попытке перевести отдельные строки в конфигурацию на USG. Я знаю, что настройка фаервола через GUI — в бета-версии, возможно, именно поэтому у меня есть ограничения по конфигурации. Ниже приведу несколько примеров проблем.

Берём, к примеру, DNS. Я выбрал бы UDP как протокол, но как тогда указать порт 53? Нужно ли для этого создавать группу Address/Port и вписывать в неё порт 53? Это кажется слишком сложным для простой фильтрации по порту...

При создании правила для разрешения или запрета трафика по IP и порту — как это сделать? Если это основано на группах Address/Port, то получается, что можно указать либо адрес, либо порт, и нельзя применить несколько групп к одному правилу.

Если мне нужно разрешить или запретить весь сеть, например 1.2.3.4/24, и при этом учесть порт, например 5060 для SIP, то как создать такое правило? И второе — как сделать это для диапазона портов, например 10000-25000?

Будет ли легче сделать эту настройку через CLI? Если да, есть ли где-нибудь документация по этому поводу?

У меня установлены последние стабильные версии контроллера и прошивки (не бета).

Заранее спасибо!
 
 
 
#2
25.10.2016 20:47:00
Я бы купил EdgeRouter, если бы хотел использовать командную строку. Моя цель — попробовать перейти на Unifi, но, похоже, это не вариант. Понимаю, что редактирование правил фаервола в Unifi — вещь новая, но, честно говоря, я не ищу здесь ничего сложного. Возможность указывать сеть ИЛИ порт вместо И/ИЛИ — просто тупое упущение, особенно для роутера, который позиционируют как готовый к использованию в Enterprise.
 
 
 
#3
25.10.2016 20:38:00
Как ты относишься к настройке .json файла? Похоже, это самый кривой вариант. Если задавать правила через CLI, они просто сотрутся, если ты потом что-то поменяешь на контроллере, кстати.
 
 
 
#4
25.10.2016 20:28:00
Без проблем. Я ценю вашу попытку помочь, ведь, судя по всему, на этот пост вообще никто не откликнулся.
 
 
 
#5
25.10.2016 20:19:00
Это абсолютно верно, моя ошибка. Похоже, это серьезно осложняет мою миграцию с ER-Pro на USG Pro.
 
 
 
#6
25.10.2016 20:11:00
В твоём примере я бы сказал так:  
PERMIT OTHER RULES  
PERMIT NETWORK  
PERMIT UDP 5060  
DENY ALL  

Проблема в том, что, конечно, сначала у меня будут разрешения, но при этом я не ограничиваю порт 5060 конкретной сетью или хостом. Я говорю «весь трафик с сети X», а потом — «весь трафик на UDP 5060». Если у меня есть другие разрешения для сетей, которые идут раньше, а они у меня есть, значит порт 5060 будет разрешён из любых других сетей, а так быть не должно. Поэтому сеть и порт должны быть связаны друг с другом в одном правиле.
 
 
 
#7
25.10.2016 20:01:00
Похоже, что на данный момент я могу найти только два правила — и это единственный вариант.
 
 
 
#8
25.10.2016 19:05:00
Прошел уже месяц с тех пор, как я обратился за помощью, и до сих пор нет никакого реального решения проблемы с файрволом. Я не могу вернуть эту рухлядь, которая, по всей видимости, не справляется со своей задачей, так что я в полном плюсе. Я отказываюсь тратить еще деньги на другой роутер Ubiquiti (ERPro), потому что, скорее всего, у меня снова возникнет вопрос или проблема, а ответа придется ждать недели, если он вообще придет. Это очень обидно, учитывая, что я дилер и продал огромное количество точек доступа и другого оборудования Ubiquiti. Честно говоря, я не считаю, что мой последний неотвеченный запрос был чем-то необычным или абсурдным — мне просто нужна возможность разрешать или блокировать трафик по сети И порту. Это же обычное дело для любого файрвола. Я действительно пытаюсь дать Ubiquiti больше бизнеса, у платформы Unifi есть огромный потенциал, но это возможно только при наличии полноценной документации и поддержки системы. Провести месяц в поисках информации о том, как настроить относительно простое правило файрвола — это просто смешно.
 
 
 
Страницы: 1
Читают тему (гостей: 1)