Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1
RSS
DNAT обходит правила брандмауэра., UniFi Network
 
#1
09.04.2025 13:03:00
Я тут чуть ли не об стену бьюсь. Коротко о настройках: у меня есть /29, маршрутизируемый к моему UDMP. Основной GW IP будет использоваться для маскировки некоторых случайных хостов, которым иногда нужен доступ в интернет. Я настроил 2 IP из публичного /29, чтобы они перенаправляли трафик на серверы внутри сети. Настраиваю правила DNAT/SNAT без указания портов, просто говоря: "Эй, UDMP, этот внутренний IP должен быть привязан к этому внешнему IP."

Дальше настраиваю правила брандмауэра, которые позволяют проходить только определенные сервисы из интернета на внутренний IP (например, 80, 443, порты почты).

Что происходит на самом деле: правила DNAT пробивают дыры прямо через брандмауэр и позволяют ВСЕМУ трафику из интернета к этим внутренним хостам, ЕСЛИ, я не делаю 1:1 DNAT правило на основе портов. То есть, вместо одного правила, которое говорит, что эти два IP привязаны вместе, мне теперь приходится использовать пять правил (по одному на порт), и мне даже не нужно правило брандмауэра, чтобы разрешить прохождение этих портов. По сути, правило брандмауэра сейчас не нужно.

Оказывается, UDMP обрабатывает правила в неправильном порядке. Сначала должны быть правила брандмауэра, ПОТОМ таблица маршрутизации NAT. Но сейчас NAT имеет приоритет, и "запретить всё" правило внизу никогда не срабатывает.

Какие мысли? Это баг или "фишка"?
 
 
 
#2
15.04.2025 14:03:00
Короткая новость. Поговорил с инженером, он смог воспроизвести проблему и понял, в чем логическая ошибка. Теперь все зависит от Product, им нужно это исправить.
 
 
 
#3
11.04.2025 18:34:00
Я понял, что есть одна ключевая вещь, которую я не уточнил. Здесь используется брандмауэр на основе зон. Возможно, это и есть часть проблемы/ошибки.
 
 
 
#4
10.04.2025 19:25:00
Можно добавить правила LAN Out, блокирующие/разрешающие потоки к определенным внутренним машинам. И, возможно, правила Internet In перед правилами NAT, чтобы добиться того же результата.
 
 
 
#5
10.04.2025 18:38:00
Вот большая проблема, просто к сведению. Похоже, установка DNAT заменяет правило брандмауэра. Так что если вы хотели добавить фильтры для того, КТО может получить доступ к ресурсу, который у вас есть под DNAT, это сделать нельзя. Я открыл запрос в @ui_support и жду ответа.
 
 
 
#6
10.04.2025 12:43:00
Конечно, но это тебе не полагается, и на EdgeRouter это делать точно не нужно. Ты должен иметь возможность назначать SNAT/DNAT, а затем строить вокруг этого правила брандмауэра, а не полностью их обходить (что и происходит).
 
 
 
#7
09.04.2025 20:57:00
Если используешь Settings>Routing>PortForwarding, а не Settings>Routing>NAT, ты сможешь указать диапазон и/или список портов для DNAT в одном правиле. Это автоматически создаст соответствующие правила Internet In тоже.
 
 
 
#8
09.04.2025 20:40:00
Думаю, они в приложении Unifi Network, потому что на EdgeRouter мне не пришлось настраивать отдельные DNAT по портам. Я сделал 1:1 DNAT на Edgerouter, и тогда правила брандмауэра применились корректно.
 
 
 
#9
09.04.2025 19:22:00
Это может пригодиться. Правила фильтрации iptables применяются после DNAT и перед SNAT... если только UI что-то не делает с iptables не совсем стандартно (что мне кажется маловероятно).
 
 
 
Страницы: 1
Читают тему (гостей: 1)