Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1
RSS
Можно ли с помощью USG заблокировать весь интернет, кроме одного сайта?, UniFi Network
 
#1
18.03.2017 16:09:00
В этом офисе несколько компьютеров. Но на одном из них нужно разрешить доступ только к одному и единственному сайту для отправки специальных отчетов. Мы не хотим, чтобы пользователи лазили в интернет где попало, кроме этого единственного сайта. Есть ли какой-то способ сделать это? У нас есть USG, коммутатор Ubiquiti 60w POE и точка доступа UAP-AC-PRO для Wi-Fi.
 
 
 
#2
13.08.2018 21:08:00
У меня есть DHCP-сервер, который раздаёт IP для корпоративной сети. Поэтому я отключил функцию DHCP на USG для корпоративной сети. Я создал сеть «Guest» в той же LAN, что и корпоративная, но с другим диапазоном IP, назначил VLAN и включил DHCP. Также обновил беспроводную гостевую сеть, указав VLAN, назначенный гостевой сети. Теперь гость может использовать настройки брандмауэра, и всё работает отлично.
 
 
 
#3
11.08.2018 08:18:00
Рад, что у тебя всё получилось. Часть Wi-Fi для «Гостей» действительно не использует элемент брандмауэра, как ты и выяснил. Нужно настроить сеть с целью «Гости», тогда срабатывает соответствующая часть брандмауэра. Мой следующий вопрос был про твою гостевую сеть — как ты её настраивал, ведь раньше гости были частью основной сети, но, похоже, ты уже это решил...
 
 
 
#4
10.08.2018 23:44:00
Спасибо большое за твою помощь, Rorton, теперь я думаю, что понимаю, как это работает. Я создал другую гостевую сеть для LAN и включил VLAN. Также применил гостевой беспроводной SSID к этому VLAN, и теперь всё работает.
 
 
 
#5
10.08.2018 23:00:00
Понятно, дело в том, что правила начинают работать, когда я добавляю их в LAN IN на фаерволе. Значит, правила фаервола для GUEST IN не действуют на беспроводную сеть, даже если я включаю «Guest Policy» в настройках SSID.  

Мой шлюз USG имеет порты WAN1, LAN1 и WAN2/LAN2. WAN1 подключён к интернет-модему со статическим IP. LAN1 подключён к неуправляемому коммутатору для корпоративной сети с AP-AC-Lite. WAN2/LAN2 подключён к резервному интернету от другого провайдера со статическим IP.  

WAN Group — это предопределённая сеть от USG, которую я не могу удалить. Я просто ввожу статические IP данные от провайдера для WAN Group.  

Для корпоративной LAN используется диапазон IP с 192.168.1.1 по 192.168.1.254. Поскольку у меня нет управляемого коммутатора и только одна точка доступа AP-AC-Lite, я не могу создать отдельную LAN только для гостей, даже VLAN не разрешён, правильно?!
 
 
 
#6
10.08.2018 21:34:00
Значит, у тебя нет отдельной «гостевой» сети, а есть просто одна сеть под названием Lan. Если так, то правила для гостей не будут работать, они применяются только при создании отдельной гостевой сети. Попробуй применить эти правила в наборе правил для LAN.  

Что касается группы WAN и её необходимости — я не уверен, зачем она нужна, я бы просто удалил её, чтобы твоя сеть LAN не могла обращаться никуда за её пределы, если это не оговорено явным правилом выше.  

Если вернуться к тому, чего ты хочешь добиться: ты хочешь запретить всему внутри сети выходить в интернет, кроме одной машины? Если да, то в первом правиле должна быть указана именно эта «разрешённая» машина как источник, а в качестве назначения — сайт, к которому хочешь получить доступ.  

Следующее правило — просто заблокировать всему LAN доступ куда бы то ни было.
 
 
 
#7
10.08.2018 21:03:00
Большое спасибо за ваш ответ. Я использую шлюз USG с AP-AC-Lite. В сети настроена локальная сеть для корпоративных пользователей. Для беспроводной сети настроено два SSID: один для сотрудников компании, другой — для гостей. Мой начальник хочет ограничить доступ всем гостям, разрешив им заходить только на сайт нашей компании, который сейчас размещён в облаке. Поэтому я добавил группы «All Wan» и «Block Guest» в настройках фаервола, а затем создал два правила для гостей в настройках фаервола, чтобы проверить. Однако я всё равно могу использовать своё беспроводное устройство для выхода в интернет без ограничений, даже если подключён к гостевой сети SSID.
 
 
 
#8
10.08.2018 20:36:00
Если гостевая сеть настроена как гостевая в UniFi, у неё будет свой набор правил. Найдите политику «guest in» и создайте там правило, чтобы либо блокировать весь трафик в интернет, либо только доступ к конкретному сайту. Какая у вас топология сети — одна корпоративная сеть и одна гостевая? Что именно гостевая сеть должна иметь возможность использовать? Можете выложить фото своих правил?
 
 
 
#9
10.08.2018 18:34:00
Я создал два правила (первое правило: разрешить доступ только к одному WAN IP, указанному в группах, второе правило: блокировать все остальные подключения) для Guest в настройках брандмауэра, но это не работает. Беспроводное устройство, подключенное к Guest SSID, всё равно может свободно выходить в интернет без ограничений.
 
 
 
Страницы: 1
Читают тему (гостей: 1)