Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
Каталог
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Страницы: 1
RSS
Как заблокировать ICMP-запросы?, UniFi Network
 
У меня есть две VLAN, расположенные в разных зонах. Пытаюсь найти способ заблокировать возможность VLAN 3 устройствам пинговать устройства на VLAN 2. Не могу найти способ создать firewall policy на основе зон, чтобы это сделать. Буду рад любым подсказкам.
 
Понимаю, наивно подумал, что правила брандмауэра смогут остановить этот тип связи в одной и той же VLAN. Спасибо за подсказку.
 
Нельзя использовать правила межсетевого экрана, которые работают на L3, чтобы блокировать трафик между устройствами в одной L2-сети. Для этого нужно использовать правила ACL или разделить устройства по разным VLAN.
 
Окей, получилось теперь заблокировать доступ к гейтвеям и пингам, так что это уже прогресс... все еще не понимаю, как не получается заблокировать виртуальную машину, но покопаюсь в этом.
 
Понял, не знал, что пинги шлюза обходят правило... Сейчас для меня это все довольно странно, нужно привыкать к логике здесь. Например, у меня есть виртуальная машина с адресом 192.168.250.140, и она может пинговать машину с адресом 192.168.250.56, и я ничего не могу с этим поделать. Я пробовал добавить политику в зону, где находится эта сеть, чтобы этот конкретный виртуальный девайс был заблокирован и не мог общаться ни с чем другим в той же зоне, но я все равно могу получить доступ ко всем общим ресурсам, пинговать, подключаться по SSH и т.д. Я понимаю, что могу поместить эту виртуальную машину в другой VLAN и в другую зону, но мне все равно интересно, почему так происходит. Политику межсетевого экрана на основе зон позволяет мне выбирать устройство по IP-адресу, MAC-адресу или имени и, якобы, решать, что оно может делать в той же зоне, независимо от того, находятся ли они в одном VLAN или нет… но увы, у меня не получается так. И не то чтобы мне помогало, что я относительно новенький в Unifi и в межсетевых экранах в целом.
 
Спасибо, это две зоны, заданные пользователем. Мне удалось заблокировать пинги с использованием ICMP протокола, как вы и посоветовали. Теперь клиенты в VLAN 3 не получают пинги в VLAN 2, кроме шлюза. Они могут пинговать 192.168.2.1, но не другие устройства. Пока не понимаю, почему они доходят до шлюза.
 
Какие зоны у нас здесь фигурируют? Если у вас две пользовательские зоны, то этот трафик должен быть заблокирован по умолчанию. В любом случае, если вам нужно просто заблокировать ping, то это так же просто, как звучит.

Source Zone=Zone A
Network=VLAN 3
Action=Block
Destination Zone=Zone B
Network=VLAN 2
IP Version=IPv4
Protocol=Custom, ICMP
IPv4 ICMP Type Name=Echo Request

Я предполагаю, что вы также хотите заблокировать ICMPv6. Это делается так же, за исключением того, что на шаге 4 вы выбираете IPv6, а на шаге 5 — ICMPv6.
Страницы: 1
Читают тему (гостей: 1)