Простые правила брандмауэра для EdgeOS: заблокировать весь трафик с 10.0.0.0/8 в 10.0.0.0/8

Простые правила брандмауэра для EdgeOS: заблокировать весь трафик с 10.0.0.0/8 в 10.0.0.0/8, UniFi Network

so9393

Guest

30.05.2025 12:36:00

Привет! Как настроить очень простой набор правил брандмауэра для достижения этого между двумя VLAN (100 и 200)? Обе VLAN находятся в диапазоне IP-адресов 10/8. Хочу сделать это через CLI. Запретить весь трафик с 10.0.0.0/8 в 10.0.0.0/8, разрешить весь трафик в 0.0.0.0/0 (это Интернет). Как это сделать с помощью двух простых правил? С уважением!

so9393

Guest

10.06.2025 19:17:00

Привет еще раз. Ты имеешь в виду, что в этой части чего-то не хватает?

configure

set firewall name VLAN_IN default-action accept
set firewall name VLAN_IN rule 10 action accept
set firewall name VLAN_IN rule 10 state established enable
set firewall name VLAN_IN rule 10 state related enable
set firewall name VLAN_IN rule 11 source address 10.210.10.0/24
set firewall name VLAN_IN rule 11 destination address 10.210.1.0/24
set firewall name VLAN_IN rule 11 action accept
set firewall name VLAN_IN rule 20 action drop
set firewall name VLAN_IN rule 20 state invalid enable
set firewall name VLAN_IN rule 30 action drop
set firewall name VLAN_IN rule 30 source address 10.0.0.0/8
set firewall name VLAN_IN rule 30 destination address 10.0.0.0/8

commit
set interfaces switch switch0 vif 100 firewall in name VLAN_IN
set interfaces switch switch0 vif 200 firewall in name VLAN_IN
set interfaces switch switch0 vif 300 firewall in name VLAN_IN

commit
sudo conntrack -F
Потому что правило 20 имеет state invalid enable, как показано здесь:set firewall name VLAN_IN rule 20 action drop
set firewall name VLAN_IN rule 20 state invalid enable
Тем временем, я перезагрузил коммутатор, чтобы вернуть его в известное рабочее состояние.

redfive Guest	#3 04.06.2025 03:26:00 Да, но, как ты можешь видеть в своем предыдущем сообщении, состояние "invalid" отсутствует в конфигурации, как и следовало ожидать, в выводе iptables.

so9393 Guest	#4 03.06.2025 21:21:00 Я думал, это здесь: rule 20 { action drop description "Drop invalid state" state { invalid enable } }

redfive Guest	#5 03.06.2025 20:56:00 Заявление «invalid enable» отсутствует в правиле брандмауэра 20, название VLAN_IN. Действие: drop. Установите брандмауэр с названием VLAN_IN, правило 20, состояние: invalid, включить.

so9393 Guest	#6 03.06.2025 20:44:00 None

so9393 Guest	#7 03.06.2025 18:59:00 Да, потому что 10.210.10/24 тоже VLAN для моих административных целей. Установил имя брандмауэра VLAN_IN, правило 11, состояние — новое, включено. Спасибо.

redfive

Guest

03.06.2025 18:44:00

На самом деле, с этим набором правил, имя файервола VLAN_IN, правило 11, исходный адрес 10.210.10.0/24
установить файервол имя VLAN_IN правило 11 целевой адрес 10.210.1.0/24
установить файервол имя VLAN_IN правило 11 действие разрешить
Все хосты, принадлежащие сети 10.210.10.0/24, будут иметь доступ ко всем хостам сети 10.210.1.0/24, если это то, что вам нужно, то все в порядке...... Добавить установить файервол имя VLAN_IN правило 11 состояние new включить

so9393

Guest

03.06.2025 18:18:00

Привет, я немного изменил это, чтобы разрешить трафик с vif 100 в административный порт на EdgeRouter в правиле 11. Иначе я потеряю доступ к коммутатору. Это понятно?

```
configure

set firewall name VLAN_IN default-action accept
set firewall name VLAN_IN rule 10 action accept
set firewall name VLAN_IN rule 10 state established enable
set firewall name VLAN_IN rule 10 state related enable
set firewall name VLAN_IN rule 11 source address 10.210.10.0/24
set firewall name VLAN_IN rule 11 destination address 10.210.1.0/24
set firewall name VLAN_IN rule 11 action accept
set firewall name VLAN_IN rule 20 action drop
set firewall name VLAN_IN rule 20 state invalid enable
set firewall name VLAN_IN rule 30 action drop
set firewall name VLAN_IN rule 30 source address 10.0.0.0/8
set firewall name VLAN_IN rule 30 destination address 10.0.0.0/8

commit
set interfaces switch switch0 vif 100 firewall in name VLAN_IN
set interfaces switch switch0 vif 200 firewall in name VLAN_IN
set interfaces switch switch0 vif 300 firewall in name VLAN_IN

commit
sudo conntrack -F
```

Это выглядит так:

```
ipv6-name WANv6_IN {
default-action drop
description "WAN inbound traffic forwarded to LAN"
enable-default-log
rule 10 {
action accept
description "Allow established/related sessions"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
}
ipv6-name WANv6_LOCAL {
default-action drop
description "WAN inbound traffic to the router"
enable-default-log
rule 10 {
action accept
description "Allow established/related sessions"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
rule 30 {
action accept
description "Allow IPv6 icmp"
protocol ipv6-icmp
}
rule 40 {
action accept
description "allow dhcpv6"
destination {
port 546
}
protocol udp
source {
port 547
}
}
}
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
+name VLAN_IN {
default-action accept
rule 10 {
action accept
state {
established enable
related enable
}
}
rule 11 {
action accept
destination {
address 10.210.1.0/24
}
source {
address 10.210.10.0/24
}
}
rule 20 {
action drop
}
rule 10 {
action drop
destination {
address 10.0.0.0/8
}
source {
address 10.0.0.0/8
}
}
}
name WAN_IN {
default-action drop
description "WAN to internal"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
}
options {
mss-clamp {
mss 1412
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
[edit]
```

redfive Guest	#10 30.05.2025 18:16:00 На самом деле, насколько нам известно, сейчас этот набор правил файрвола с именем VLAN_IN, правило 30, адрес источника 10.0.0.0/8 может даже оказаться бесполезным.

waterside

Guest

#11

30.05.2025 17:57:00

К слову, есть ещё эта статья базы знаний из центра поддержки UISP: EdgeRouter - Как создать правило брандмауэра гостевой/LAN. Тема может не совсем совпадать, но детали в статье делают ровно то, что нужно (и соответствуют тому, что @redfive опубликовал).

redfive

Guest

#12

30.05.2025 17:34:00

Настраиваем.
Устанавливаем имя брандмауэра VLAN_IN, действие по умолчанию — accept.
Устанавливаем брандмауэр VLAN_IN, правило 10, действие — accept.
Устанавливаем брандмауэр VLAN_IN, правило 10, состояние established — включено.
Устанавливаем брандмауэр VLAN_IN, правило 10, состояние related — включено.
Устанавливаем брандмауэр VLAN_IN, правило 20, действие — drop.
Устанавливаем брандмауэр VLAN_IN, правило 20, состояние invalid — включено.
Устанавливаем брандмауэр VLAN_IN, правило 30, действие — drop.
Устанавливаем брандмауэр VLAN_IN, правило 30, исходный адрес 10.0.0.0/8.
Устанавливаем брандмауэр VLAN_IN, правило 30, целевой адрес 10.0.0.0/8.
Сохраняем.
Устанавливаем интерфейс switch switch0 vif 100, брандмауэр входящий — VLAN_IN.
Устанавливаем интерфейс switch switch0 vif 200, брандмауэр входящий — VLAN_IN.
# Добавить больше vif по мере необходимости
Устанавливаем интерфейс switch switch0 vif nnn, брандмауэр входящий — VLAN_IN.
Устанавливаем интерфейс switch switch0 vif nnn, брандмауэр входящий — VLAN_IN.

Сохраняем.
sudo conntrack -F
Проверяем, если все в порядке, запускаем сохранение.

so9393

Guest

#13

30.05.2025 17:30:00

Настраиваем.
set firewall name VLAN_IN default-action accept
set firewall name VLAN_IN rule 10 action accept
set firewall name VLAN_IN rule 10 state established enable
set firewall name VLAN_IN rule 10 state related enable
set firewall name VLAN_IN rule 20 action drop
set firewall name VLAN_IN rule 20 state invalid enable
set firewall name VLAN_IN rule 30 action drop
set firewall name VLAN_IN rule 30 source address 10.0.0.0/8
set firewall name VLAN_IN rule 30 destination address 10.0.0.0/8
commit
set interfaces switch switch0 vif VLAN100 firewall in name VLAN_IN
set interfaces switch switch0 vif VLAN200 firewall in name VLAN_IN
# Добавить больше vif по мере необходимости
set interfaces switch switch0 vif VLANnnn firewall in name VLAN_IN
set interfaces switch switch0 vif VLANnnn firewall in name VLAN_IN

commit
sudo conntrack -F

И правильно ли я понимаю, что всё, кроме 10.0.0.0/8, будет направлено в Интернет благодаря default-action accept и правилу 10 для состояния EST?

redfive Guest	#14 30.05.2025 15:22:00 Ну, тогда все твои VLAN'ы попадают в (старый классический) сетевой сегмент 10.0.0.0/8.

so9393 Guest	#15 30.05.2025 15:16:00 Привет, VLAN'ы настроены следующим образом: vlan100 10.210.1.0/24 vlan200 10.210.2.0/24

redfive Guest	#16 30.05.2025 14:31:00 Вот что я и предполагал...

mikemccharles Guest	#17 30.05.2025 14:17:00 Я не думаю, что VLANы используют абсолютно одинаковую схему адресации подсетей. По-моему, у них разные, но небольшие подсети, но все в пределах одной большой суперсети.

mikemccharles

Guest

#18

30.05.2025 14:13:00

Ты имеешь в виду разные, типа 10.x.x.x и 172.16.x.x? Если да, то логика неверная. Можно иметь непрерывные подсети для VLAN, все в одном классе адресов, например, 10.0.10.0/24 для VLAN 10, 10.0.20.0/24 для VLAN 20 и так далее... Все подсети входят в более крупную "суперсеть" 10.0.0.0/8 согласно RFC 1918. С этим адресацией абсолютно ничего не так.

gregorio Guest	#19 30.05.2025 14:09:00 Как так получилось, что обе VLAN имеют одинаковый IP-адрес? Где они созданы? Как @RobbieH и сказал, это нельзя сделать на роутере. Свитч — это совсем другое устройство и там можно использовать ACL.

HawkNVR Guest	#20 30.05.2025 14:07:00 В идеале, у обоих VLAN'ов должны быть разные сетевые адреса RFC1918 и не одинаковые.

Читают тему (гостей: 1)