Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1
RSS
Пожалуйста, добавьте WAN OUT на страницу Routing & Firewall для USG., UniFi Network
 
#1
13.09.2016 17:15:00
Недавно я поменял свой роутер с EdgeRouter на USG. Некоторые настройки мне не хватает, потому что Unifi пока не догнала EdgeOS, но в целом я доволен. Я надеюсь, что со временем у нас появится доступ ко всему дереву конфигурации в USG, а пока не могли бы вы добавить «WAN OUT» в раздел настроек маршрутизации и файрвола?  

На моём EdgeRouter у меня было простое правило WAN OUT, которое блокировало доступ для устройств из определённой группы. У меня дома несколько IP-камер Foscam, и я даю к ним удалённый доступ через Linux-сервер с Nginx в качестве обратного прокси (все внешние подключения по https). Поэтому камерам совершенно не нужно выходить за пределы домашней сети. У них есть встроенные функции автоматического обнаружения, и чтобы точно не допустить отправку данных вне моей сети, я использую такое правило:  

name WAN_OUT {  
 default-action accept  
 description "пакеты из локальной сети в интернет"  
 rule 1 {  
  action drop  
  description "Блокируем IP-камеры"  
  log disable  
  protocol all  
  source {  
   group {  
    address-group IP_CAMERAS  
   }  
  }  
 }  
}  

В USG уже есть настройка для создания групп, и есть конфигурации файрвола для GUEST/LAN OUT и GUEST/LAN/WAN LOCAL, просто не хватает WAN OUT. Думаю, это было бы простым дополнением, учитывая, что основа конфигурации и интерфейс редактирования уже готовы.
 
 
 
#2
06.01.2017 03:32:00
В основе лежит iptables, но конфигурацию нельзя делать напрямую через команды iptables (все изменения будут потеряны). EdgeOS обеспечивает уровень абстракции между ОС и контроллером, так же, как и на EdgeRouters. В интерфейсе можно включать или отключать логирование для каждого правила отдельно.
 
 
 
#3
06.01.2017 00:06:00
Спасибо, это сработало у меня, и у меня включено ведение логов для этого правила, так что я вижу записи [WAN_OUT-2000-D], когда запускаю dmesg.
 
 
 
#4
05.01.2017 23:03:00
Как старый (очень старый) админ Linux, я заметил, что команда ‘iptables -L -n -v’ тоже работает. Какую технологию вы используете «под капотом»? Можно ли применять команды iptables? А как насчёт добавления логирования блокировок и прочего, то есть, например, цели -j LOG, предполагая, что устройство можно настроить на пересылку syslog куда-то в локальную сеть?
 
 
 
#5
05.01.2017 22:30:00
Перезагружать не нужно, достаточно просто запустить повторное Provision. Выключите светодиод и включите его снова, или добавьте и удалите перенаправление порта, или что-то в этом роде.

Чтобы проверить, что всё на месте, подключитесь по SSH к USG и выполните команду «show configuration commands | match WAN_OUT». Вы должны увидеть что-то похожее на следующее:
$ show configuration commands | match WAN_OUT
set firewall name WAN_OUT default-action accept  
set firewall name WAN_OUT description 'packets to internet'  
set interfaces ethernet eth2 firewall out name WAN_OUT  
set interfaces ethernet eth3 firewall out name WAN_OUT  

В зависимости от того, USG у вас или USG Pro, есть ли один WAN или два, и какие правила для WAN OUT вы настроили, здесь могут быть небольшие отличия.
 
 
 
#6
05.01.2017 17:34:00
Буду рад попробовать. После добавления этой строки нужно ли перезагружать USG, чтобы изменения вступили в силу? Есть ли какие-то логи на USG, которые можно проверить, чтобы убедиться, что всё работает? Или просто попробовать заблокировать трафик для известного устройства и считать, что блокировка означает, что всё настроено правильно?
 
 
 
#7
05.01.2017 08:49:00
Если добавить следующее в ваш config.properties в текущих версиях, то правила WAN_OUT будут применены.

config.ugw.deploy_firewall_wan_out=true  
Я не уверен, почему это не включено по умолчанию, причина не была указана, а человек, который это сделал, уже не работает у нас. Полагаю, на самом деле никакой причины нет, но хотел бы получить больше тестов и отзывов, прежде чем включать это для всех. У себя оно работает отлично.
 
 
 
#8
14.12.2016 01:16:00
В самом деле — другой топик подтверждает, что этот элемент интерфейса сейчас не работает; ссылка ниже: https://community.ui.com/questions/1a971b89-cf00-4edb-b2ec-5871d74037db
 
 
 
#9
13.12.2016 12:31:00
Спасибо — это точно объясняет то, что я вижу... 😀
 
 
 
#10
13.12.2016 10:36:00
Я почти уверен, что читал в другой теме, что @UBNT-cmb сказал, что WAN_OUT пока не работает. Попробую найти этот пост.
 
 
 
#11
13.12.2016 03:02:00
Я вижу, что после обновления до версии 5.3.8 в интерфейсе появился набор правил WAN_OUT, но даже когда я добавляю в него правило, оно, похоже, неактивно. Команда «show firewall» в командной строке роутера тоже не показывает никаких правил WAN_OUT (а в файле /config/config.boot нет ни группы WAN_OUT, ни созданного мной правила в GUI). Это ошибка, или при обновлении что-то пошло не так?
 
 
 
#12
08.11.2016 07:02:00
WAN OUT теперь настраивается в версии 5.3.5. Возможно, это было доступно и в более ранней версии, но я не заметил. Спасибо!
 
 
 
#13
17.10.2016 21:01:00
@UBNT-cmb, есть ли способ отслеживать статус бага, чтобы знать, когда можно ожидать изменения?
 
 
 
Страницы: 1
Читают тему (гостей: 1)