Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1
RSS
Публичная DMZ на USG?, UniFi Network
 
#1
25.01.2017 08:40:00
Всем привет. Я настроил DMZ на eth1 (то есть на втором LAN-интерфейсе) на своем USG, согласно этой статье: https://community.ui.com/questions/50116de8-11af-4693-9613-bb49430e851c#comment/0977da73-db06-4452-a252-0e30553a6777. IP-адрес на LAN2 — публичный, так как у нас есть сеть с диапазоном /28 помимо нашего WAN-адреса. Я могу пинговать другие хосты в этой сети и этот интерфейс на USG, но никак не получается открыть её для внешнего мира.

UniFi поддержка, похоже, в полном замешательстве. Это вообще возможно? Кто-то уже пробовал? Или мне надо ставить что-то ещё перед USG, чтобы оно занималось файрволлом для DMZ? Я надеялся, что USG справится со всем этим самостоятельно.

Прикладываю слабенькую схему того, что пытаюсь сделать, с вымышленными адресами, чтобы сохранить анонимность.

Вкратце: у меня есть WAN-адрес и дополнительный диапазон IP /28. Я хочу, чтобы USG просто пропускал трафик к этому /28 диапазону, при этом применял к нему правила файрволла, а всё остальное NAT'ился через eth0, как обычно.

Заранее спасибо!
 
 
 
#2
22.06.2017 20:53:00
@j-sho

Там можно получить бета-доступ, после этого ссылка должна работать нормально 😀 https://help.ubnt.com/hc/en-us/articles/204908664-How-To-Signup-for-Beta-Access
 
 
 
#3
22.06.2017 20:36:00
@UBNT-cmb

Спасибо за информацию. К сожалению, у меня нет доступа к странице по вашей ссылке. Выдаёт сообщение "Доступ запрещён". Есть ли другой способ получить версию 5.5.X?
 
 
 
#4
21.06.2017 09:16:00
5.5.x — текущая стабильная версия, доступна здесь.  
https://community.ui.com/releases
 
 
 
#5
19.06.2017 19:24:00
@UBNT-cmb

Согласно странице загрузок Ubiquiti, последняя версия Unifi Controller — 5.4.16. Но вы говорите, что эта функция доступна только начиная с версии 5.5.x, и это ещё в январе было?
 
 
 
#6
02.05.2018 02:49:00
Я объясняю, как называются группы и как они работают, здесь: https://help.ubnt.com/hc/en-us/articles/115003173168-UniFi-Introduction-to-USG-Firewall-Rules. А как заблокировать или разрешить маршрутизацию между VLAN и так далее — здесь: https://help.ubnt.com/hc/en-us/articles/115010254227-UniFi-How-to-Disable-InterVLAN-Routing-on-the-UniFi-USG.
 
 
 
#7
01.05.2018 22:12:00
Нет, я пока что бросил это и двинулся дальше. Надеюсь, позже найду время снова заняться этим.
 
 
 
#8
01.05.2018 21:43:00
Есть какие-нибудь решения?
 
 
 
#9
29.01.2018 01:21:00
Нет, ответов так и не поступило. Пришлось отложить это дело на потом, так что ничего страшного, но я действительно хочу разобраться. Ещё одна проблема, с которой столкнулся перед тем, как остановиться: клиенты в DMZ не получают IP-адреса от DHCP-сервера, так что, думаю, нужно добавить ещё одно правило для файрвола (udp/67 и udp/68). Вот только в какую группу эти правила добавить — не знаю. Я уже больше 10 лет работаю с Cisco ASA, так что с файрволами знаком, но никак не могу понять, как работает файрвол на USG. Надеюсь, на выходных получится посвятить этому ещё время. Jon
 
 
 
#10
28.01.2018 23:45:00
Ты вообще получил какой-то ответ на это? Я пытаюсь заменить EdgeRouter Lite на USG4 Pro, но хочу разобраться в различиях между брандмауэром, NAT и интерфейсами. В том числе пытаюсь понять, как будет работать DMZ.
 
 
 
#11
22.01.2018 21:54:00
Я тоже настраиваю это, но у меня вопрос по поводу расположения правил файрвола. У меня внутренняя сеть подключена к порту LAN, а DMZ — к порту LAN2. Я не хочу, чтобы трафик с LAN попадал на LAN2 (кроме tcp/22 с определённого IP-адреса). Заметил, что в настройках файрвола нет группы LAN2, так что, думаю, правила нужно прописывать в группе LAN Local? Спасибо, Джон.
 
 
 
#12
23.06.2017 01:24:00
Привет! Получилось. Спасибо.
 
 
 
#13
16.05.2017 00:33:00
Привет, dwheaton, можешь подсказать, как у тебя это получилось? Я пытаюсь сделать ровно то же самое. Мне удалось назначить публичный IP из нашего маршрутизируемого публичного подсети на LAN2, и я могу пинговать его из интернета, но не получается дать публичный IP клиенту, подключённому к этому порту. Любые советы будут очень полезны.
 
 
 
Страницы: 1
Читают тему (гостей: 1)