Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1
RSS
Пытаюсь надежно защитить свою IoT-сеть., UniFi Network
 
#1
22.05.2017 02:23:00
У меня сейчас настроено 3 беспроводные сети на точке доступа (AP AC-PRO) и три разных VLAN на USG, которые соответствуют каждой из этих сетей. План таков: выделить одну из этих беспроводных сетей/VLAN специально для устройств Интернета вещей (IoT). Я пытаюсь полностью ограничить весь трафик внутри и снаружи сети IoT, разрешая только те конкретные порты, которые нужны каждому устройству. Пока что мои попытки заблокировать весь трафик в любом направлении внутри сети IoT не увенчались успехом. Я пробовал создавать правила в WAN IN, WAN LOCAL, LAN IN и LAN OUT. Пробовал ставить правила и до, и после предустановленных. Использовал как определённую сеть, так и определял группу внутри правила. В каждом правиле, конечно, отмечал New, Established, Invalid и Related. Но пока ничего из этого не блокировало доступ к интернету при подключении к беспроводной сети IoT. Что мне нужно сделать, чтобы реально добиться этого? Единственное правило, которое мне удалось успешно создать, — это блокировка входящего ICMP. Проверял это при помощи Shields Up.
 
 
 
#2
10.06.2017 02:41:00
Я собираюсь закрыть этот вопрос. Спасибо всем за помощь. Сейчас я пытаюсь разрешить трафик для моего контроллера полива RainMachine. Я создал новую тему, её можно найти здесь.
 
 
 
#3
07.06.2017 23:37:00
Хорошо, сделаю. Но прежде чем это сделать, ты не знаешь, как выйти из режима настройки моего USG? Я вчера вечером кое-что пытался сделать, и теперь он застрял в этом режиме.
 
 
 
#4
07.06.2017 02:36:00
Это тот же самый базовый процесс, просто создай правила WAN_IN и WAN_OUT, которые будут блокировать все пакеты от этой сети. Можешь показать правило, которое ты попробовал?
 
 
 
#5
08.06.2017 04:48:00
Правила на интерфейсе WAN будут контролировать, к чему IoT устройства могут получить доступ в WAN, а не что они могут достичь в других сегментах LAN. Я бы начал с правил, применяемых к сегменту LAN_IN.

Сценарий 1: IoT-устройство A не должно общаться с LAN-устройством A. LAN_IN должен блокировать трафик, исходящий от IoT и направленный в сети LAN/Guest. Это гарантирует, что нежелательный трафик будет отброшен сразу при входе в роутер со стороны коммутатора или точки доступа.

Сценарий 2: IoT-устройство A должно иметь доступ в интернет. LAN_IN должен принимать новый трафик от IoT (который не был заблокирован правилом выше). WAN_OUT также должен принимать этот трафик при выходе из роутера в сторону интернета. Ответный трафик должен приниматься с помощью правильных stateful правил, применённых как на WAN_IN, так и на LAN_OUT, чтобы разрешить установленные и связанные соединения.
 
 
 
#6
08.06.2017 01:13:00
Просто для моего понимания... Как правила файрвола, которые я только что создал, могут влиять на трафик между VLAN, если они находятся на стороне WAN файрвола? Я нашёл сообщение в другой теме, где сказано: Разве это не так?
 
 
 
#7
08.06.2017 00:53:00
1- Нет, не нужно, так как это правило блокирует весь трафик, исходящий с любого устройства в сети IOT, не позволяя ему никуда попасть. 2- Правила обрабатываются по порядку сверху вниз, поэтому, чтобы разрешить определённый трафик, нужно переместить соответствующие правила выше правила блокировки.
 
 
 
#8
08.06.2017 00:50:00
Отлично, сработало! Спасибо! Прежде чем помечу это как решённое, у меня есть ещё пара вопросов...

1 — Похоже, VLAN’ы довольно хорошо закрыты. Когда я сканирую, не вижу устройств на других VLAN’ах и не могу пинговать устройства на других VLAN’ах. Всё ещё нужно выполнять шаги, описанные в предыдущем посте? Если это действительно полезно, я обязательно так сделаю, но мне казалось, что где-то читал, что Ubiquiti ужесточил это сильнее, чем раньше.

2 — Когда я разрешаю трафик на указанных портах, которые нужны устройствам, нужно ли ставить это правило прямо после того, что я только что создал? Если разрешить доступ только для конкретного IP-адреса, нужно ли ещё делать перенаправление портов? (Похоже, я тут сразу два вопроса в одном закинул.)
 
 
 
#9
08.06.2017 00:33:00
^^ Я как раз собирался сказать то же самое.
 
 
 
#10
08.06.2017 00:32:00
В вашем правиле для файрвола используйте Netv4 вместо ADDRv4 для источника IOT.
 
 
 
#11
08.06.2017 00:17:00
Я все еще могу подключаться к интернету через беспроводную сеть IOT.
 
 
 
#12
08.06.2017 00:14:00
 
 
 
#13
08.06.2017 00:10:00
Мне удалось вывести устройство из режима настройки, восстановив его из резервной копии. Теперь у меня нет тех правил файрвола, с которыми я экспериментировал, но я создал несколько правил в WAN IN и WAN OUT, как ты и советовал.
 
 
 
#14
08.06.2017 00:09:00
Просто отключи устройство от сети, а потом снова подключи. Посмотри на уведомления и выясни, что именно вызывает зависание.
 
 
 
#15
07.06.2017 02:02:00
Извини за задержку с ответом, мешали другие проекты. Я посмотрел твою ветку, и похоже, что эти правила предназначены для изоляции трафика между разными VLAN. Скорее всего, я попробую сделать именно так, но сначала хочу настроить блокировку всего входящего и исходящего трафика из интернета в конкретный VLAN. Как только это получится, планирую разрешить только те порты, которые нужны каждому устройству для связи. Казалось бы, это не должно быть так сложно, но ничего из того, что я пробовал, не работает. Буду признателен за любую помощь.
 
 
 
Страницы: 1
Читают тему (гостей: 1)