Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1
RSS
Unifi Express 7: блокировка межсетевых экранов (Inter Vlan Blocking), UniFi Network
 
#1
30.05.2025 13:28:00
Привет, я пытаюсь заблокировать весь трафик в моей IoT-сети 192.168.1.2/24, чтобы он не получал доступ к адресам шлюза из моих других локальных сетей 192.168.1.1/24 и 192.168.3.1/24.  Включая адрес шлюза IoT-сети. Я не хочу разрешать http, https, ssh или imcp из IoT-сети. Не могу разобраться, как заблокировать и применить это правило.
 
 
 
#2
01.06.2025 16:58:00
Согласен, звучит как баг, и довольно серьезный. Когда правила брандмауэра не работают так, как отображается, это один из худших багов, какие только бывают на брандмауэре, если честно, лол.
 
 
 
#3
01.06.2025 15:32:00
@travis.vitek Я решил проблему, переместив сеть IoT в недоверенную зону, и создал следующее:

Правило блокировки сети Gateways для недоверенной сети
 
 
 
#4
01.06.2025 15:15:00
У меня сомнения. Это правило заблокирует весь трафик на 4 IP-адреса шлюза. Если это IP-адреса шлюзов для других сетей, то блокировка всего трафика на них — нормально. Но ты ничего не блокируешь для сети IoT. Если шлюз IoT есть в этом списке из 4 IP, то будет заблокирован, как минимум, необходимый трафик (DHCP и DNS).
 
 
 
#5
31.05.2025 16:04:00
Похоже, это ошибка. Шлюз должен быть предварительно определен в системе. По крайней мере, именно так я понимаю. Надеюсь, @UI-Team сможет внести ясность в этот вопрос.
 
 
 
#6
31.05.2025 15:57:00
Теперь я не знаю, это я исправил проблему, или она сама решилась? Я добавил адреса шлюза вместо ANY, как показано на скриншоте в моей другой публикации.
 
 
 
#7
31.05.2025 14:45:00
Вероятно, очередной сбой ZBF. Если это правило работает так, как заявлено, то он заблокирует весь трафик к шлюзу. Вы говорите, что простое изменение Reject на Block сделало так, что ничего не работает? @UI-Team захотят посмотреть на файл поддержки, чтобы понять, почему.
 
 
 
#8
31.05.2025 07:44:00
У меня настроено вот такое правило.
 
 
 
#9
30.05.2025 21:50:00
Да, это хорошее замечание, если бы мы могли увидеть правило, это бы очень помогло.
 
 
 
#10
30.05.2025 21:49:00
В чём, собственно, правило? Блокировка/закрытие конкретных портов 22, 80, 443, 8080 на шлюз – стандартная процедура. Делать это с ICMP на шлюз не всегда хорошая идея. Некоторые устройства могут вести себя непредсказуемо. Возможно, это и стало причиной, почему Reject сработал, а Drop – нет.
 
 
 
#11
30.05.2025 20:52:00
Тебе вообще не стоило использовать "отклонять". "Отклонять" и "блокировать" делают одно и то же, "отклонять" просто уведомляет устройство с ответом вместо того, чтобы просто отбрасывать пакеты. Я думаю, какое-то другое правило перекрывает это, или твои правила ещё не обработались/не применились/не обновились на уровне файрвола.
 
 
 
#12
30.05.2025 14:21:00
Получилось заработать для всех, кто заинтересован. Я изменил правило файрвола с "блокировать" на "отклонять", и правило заработало.
 
 
 
Страницы: 1
Читают тему (гостей: 1)