Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1 2 След.
RSS
Блок USG ИнтерВлан маршрутизация, UniFi Network
 
#1
29.03.2016 09:58:00
Привет! У меня есть USG, и, как мне кажется, в нём по умолчанию включена маршрутизация между VLAN. Есть ли способ это отключить? Я уже смотрел эту ссылку, но у меня возникли с ней проблемы: https://community.ui.com/questions/bc6b95e7-b1b8-4a21-8f9b-42a48843240f Может, кто-то сможет помочь? Спасибо!
 
 
 
#2
23.04.2018 00:33:00
@Bytechanger

Ваш фильтр в направлении LAN OUT может тратить лишние ресурсы процессора в USG. Я не эксперт в правилах файрвола UniFi, но для тех, кто, как и я, только учится, Ubiquiti отмечает: «...фильтрация должна происходить в направлении IN. Нет смысла пропускать трафик на входе, если он всё равно будет заблокирован на выходе — обычно хочется блокировать трафик как можно раньше, чтобы не использовать лишние ресурсы. Бывают редкие случаи, когда правило для OUT лучше подходит для конкретной задачи, но в 99% случаев следует использовать набор правил IN». https://help.ubnt.com/hc/en-us/articles/115003173168-UniFi-Introduction-to-USG-Firewall-Rules
 
 
 
#3
16.09.2017 15:29:00
Спасибо, проблема решена 😀
 
 
 
#4
16.09.2017 12:22:00
Попробуй вот эту ссылку: https://www.youtube.com/watch?v=4geSuDO7kaU
 
 
 
#5
16.09.2017 09:55:00
Привет, если я блокирую маршрутизацию между VLAN по этому примеру, переадресация портов перестаёт работать. Какие исключения нужно настроить, чтобы переадресация портов работала? Спасибо.
 
 
 
#6
19.03.2017 00:39:00
Я настроил всё примерно так же, как в последнем посте (только оставил тип назначения как address/port group и выбрал LAN). Пока всё работает, как надо. Пытался выделить TiVo в отдельную VLAN, но с MoCA возникало слишком много проблем. В итоге вернулся к исходным настройкам — сегодня просто не было времени с этим разбираться.
 
 
 
#7
21.03.2017 02:44:00
@UBNT-cmb

Спасибо за информацию о том, что файрвол может обрабатывать трафик именно так. Я новичок на этой платформе и ищу способы заставить это работать для меня. Не могли бы вы рассказать, как настроить такой тип трафика (односторонний поток с разрешённым ответным трафиком) на USG? Спасибо!
 
 
 
#8
27.03.2017 14:19:00
Он всё равно определяет трафик по диапазону IP-адресов, связанному с этим сетевым интерфейсом. Это полезно, если вы решите изменить IP-диапазон этого интерфейса, но в случае изменения адресации IP я бы всё равно проверил правила файрвола — по крайней мере, надеюсь, что не забуду. Он не использует VLAN ID или тег. Посмотрите свою конфигурацию.  
admin@USGPro4:~$ show configuration commands  
firewall set firewall name LAN_IN rule 2007 action drop  
set firewall name LAN_IN rule 2007 description 'Block untrusted to private'  
set firewall name LAN_IN rule 2007 destination group address-group NETv4_eth0  
set firewall name LAN_IN rule 2007 protocol all  
set firewall name LAN_IN rule 2007 source group address-group NETv4_eth0.20  
admin@USGPro4:~$ sudo ipset list NETv4_eth0.20  
Name: NETv4_eth0.20  
Type: hash:net  
Revision: 3  
Header: family inet hashsize 1024 maxelem 65536  
Size in memory: 16792  
References: 2  
Members:  
172.16.20.0/24  
admin@USGPro4:~$
 
 
 
#9
27.03.2017 13:24:00
Привет, USG определяет это (думаю, по VLAN ID). Ты можешь выбрать VLAN через выпадающий список. Думаю, USG считывает заголовок VLAN. VLAN ID установлен моим коммутатором на специальном порту (не trunk-порт). VLAN ID тоже уязвим, но IP — это очень просто... Привет, Byte
 
 
 
#10
27.03.2017 13:15:00
Как определить трафик VLAN, чтобы создать правило для его блокировки? Думаю, большинство используют соответствующий диапазон IP-адресов для каждого VLAN.
 
 
 
#11
23.03.2017 04:20:00
Чтобы завершить сессию — я имел в виду, что прервал WiFi-сессию устройства, что повлияло на очистку таблиц. Я использовал графический интерфейс, чтобы отправить команду блокировки для клиентского устройства, которое применял для тестирования.
 
 
 
#12
22.03.2017 09:19:00
Привет, как я и говорил, я не эксперт. Что ты имел в виду под «Мне нужно было завершить сессию(и), чтобы очистить таблицу состояний. Я не мог понять, почему пакеты все еще идут»? Как ты сбрасываешь сессию (через ssh??)? Я предполагаю, что так как UDP — это «безсессионный» протокол, трафик хранится до истечения тайм-аута. Думаю, так же и с TCP, если сессия не завершена. Привет, Byte
 
 
 
#13
22.03.2017 04:35:00
Byte - Спасибо за совет. Теперь у меня работает так, что трафик идет в одном направлении, а возвратный — в другом. Ещё один момент: во время тестирования мне пришлось завершать сессии, чтобы очистить таблицу состояний. Я никак не мог понять, почему пакеты всё ещё передаются.
 
 
 
#14
21.03.2017 09:55:00
Привет, я не эксперт. Но в моём случае настройка такая:  
файрвол LAN IN:  
2001 "Разрешить трафик с LAN на VLAN" — здесь нужно задать те же параметры, что и для правил drop (SOURCE VLAN, DESTINATION LAN), но РАЗРЕШИТЬ трафик, который ESTABLISHED (в некоторых случаях надо также RELATED).  
2002 "Блокировать маршрутизацию трафика с VLAN на LAN" — отбросить весь трафик с VLAN на LAN.  
Важно, чтобы правило allow стояло до drop!  

Ещё я блокирую трафик с VLAN в Интернет через "WAN OUT" (но в актуальной версии контроллерного ПО надо в config.properties прописать "config.ugw.deploy_firewall_wan_out=true").  

С уважением, byte
 
 
 
#15
18.03.2017 13:33:00
Я считаю, что блокировка по IP очень ненадёжна! Если я вручную поменяю IP-адрес устройства на другой, который не заблокирован, то блокирующий файрволл не сработает, так ведь? Получается, если я блокирую 192.168.1.0/24 и 192.168.2.0/24, а потом меняю IP своего компьютера вручную на 192.168.3.5, файрволл не блокирует мой трафик... Я же сбрасываю весь трафик с VLAN, а не с диапазона IP... С уважением, Byte
 
 
 
#16
18.03.2017 12:28:00
@UBNT-cmb

Я создал группу под названием «Block», в которую включил все VLAN, которые хочу заблокировать. Это правильная настройка? В опциях группы сети нет выбора между NETv4 и ADDRv4. Я так понимаю, что по умолчанию стоит NETv4?
 
 
 
#17
18.03.2017 12:17:00
Я в основном говорил о беспроводных устройствах. Я изолировал порты на своих коммутаторах для устройств, которые не должны видеть другие устройства в сети. С нетерпением жду более простых вариантов настройки в версии 5.6.x. Есть какая-то информация по срокам? Через 6 месяцев? Год? 😀
 
 
 
#18
18.03.2017 11:59:00
Вот краткое и понятное описание:  
LAN in = трафик с локальной сети, направленный во фаервол  
LAN local = трафик, идущий на IP самого фаервола из локальной сети  
LAN out = трафик, выходящий из фаервола в локальную сеть  
WAN in = трафик из интернета, идущий во фаервол  
WAN out = трафик, выходящий из фаервола в интернет
 
 
 
#19
18.03.2017 10:38:00
Было бы здорово получить подробную инструкцию по in, out и local. Я видел много постов по теме фаервола, но там всё немного запутанно. Есть несколько корпоративных VLAN, и между ними блокируется трафик.
 
 
 
#20
18.03.2017 06:11:00
Привет, а как насчёт гостевой сети? Там же нельзя общаться между устройствами, верно? Как это работает?  
С уважением, Byte
 
 
 
Страницы: 1 2 След.
Читают тему (гостей: 1)