Правила брандмауэра для изоляции камер Protect

Правила брандмауэра для изоляции камер Protect, UniFi Protect

s1rc

Guest

17.03.2019 19:57:00

Я недавно обновил свой CK до CKG2+ и перехожу с старых камер на новые Protect. Поскольку мои камеры будут на улице, я создал для них отдельный VLAN. В CKG2+ всего один Ethernet-порт, поэтому я не могу изолировать весь VLAN целиком. Не хочу, чтобы кто-то, проникнув на улицу, мог получить доступ через PoE-кабели или nano switch к внутренним защищённым VLAN. Какие правила файрвола мне нужны, чтобы камеры были изолированы в своём собственном VLAN, но при этом имели необходимый доступ к CKG2+?

rdgettler Guest	#2 25.06.2021 18:39:00 PS. Я убрал USG из группы IPv4 и оставил там только UNVR-4, и, кажется, ничего не изменилось — всё по-прежнему работает отлично.

rdgettler

Guest

25.06.2021 18:30:00

@sergiobuonanno Спасибо. Я просто следовал твоему посту 10-месячной давности, чтобы разделить мои камеры Unifi на отдельную VLAN, а UNVR-4 оставить в LAN. Всё вроде работает. Сделал WiFi-сеть, привязанную к этой сети видеонаблюдения, подключился и проверил пингом разные IP-адреса. Ответы получаю только от моего USG и других камер, больше никто из LAN, IOT или WAN не отвечает. RSTP работает, а вот RSTPS — нет. Я заметил, что у RSTPS порт 7441, добавил его в порт-группу, но это не помогло запустить RSTPS. Он мне не нужен, просто учусь и экспериментирую, для меня это всё ново с правилами Firewall. Твой пост — самый понятный из всех, что я нашёл для новичка вроде меня. Большое спасибо

Mitka Guest	#4 07.06.2021 18:54:00 @Connect_Now Спасибо. Я раньше так не думал. Ценю это.

Thisismeij Guest	#5 07.06.2021 12:41:00 Ты пропустил важное правило

Mitka

Guest

07.06.2021 12:05:00

@Connect_Now Они, похоже, всё же обязательны (если я не пропустил какой-то порт). Всё работает, как только я открываю все TCP-порты. Возможно, ты сможешь взглянуть на его пост (не по теме). UNVR Bug или ошибка файервола или человеческий фактор? | Ubiquiti Community

Thisismeij

Guest

06.06.2021 19:03:00

Это исходящие порты, их можно игнорировать. Сегодня ночью я нашёл конфигурационный файл ubnt в формате json/yaml и исправил всё, включая удалённое подключение. Удалённое подключение работает только если статус камеры — «чистый» (virgin). Единственная проблема — при удалённом сбросе 3G Instant до состояния «чистого» вы потеряете WiFi-соединение. Кому-то нужно придумать способ создать что-то вроде pi-стиля файла wifi.txt для предустановки перед сбросом/установкой, который сохранится после сброса, чтобы Instant всегда подключался к последней известной сети WiFi для бесшовной удалённой настройки без дисплея.

Mitka

Guest

29.05.2021 18:23:00

Похоже, порты генерируются случайным образом (вероятно, в рамках одного или нескольких диапазонов).
Постоянные порты: 7550
SRC=10.0.x.x DST=10.0.y.y LEN=404 TOS=0x00 PREC=0x00 TTL=63 ID=24101 DF PROTO=TCP SPT=39722 DPT=7550 WINDOW=913 RES=0x00 ACK PSH URGP=0
SRC=10.0.y.y DST=10.0.x.x LEN=52 TOS=0x00 PREC=0x00 TTL=62 ID=62985 DF PROTO=TCP SPT=7550 DPT=39722 WINDOW=52883 RES=0x00 ACK URGP=0
Случайные порты, которые наблюдались до сих пор: 39602, 39604, 39728, 37104, 39722, 39724.
Похоже, я не могу добавить диапазон портов в Groups, чтобы протестировать 39000-39999.

Mitka

Guest

29.05.2021 17:40:00

Я использую правило MAC+TCP для обхода VLAN NVR на моём G3 Instant. Для основной беспроводной сети "Main" у меня настроена аутентификация через RADIUS, а в "Other" — обычная аутентификация для устройств, которые не поддерживают RADIUS. Я уже поднимал этот вопрос в одном из обсуждений раньше, и, похоже, они собираются добавить поддержку RADIUS для G3 Instant. Я пытался понять, почему это не работало, когда указывал порты в правиле. Наткнулся на следующие порты и некоторые другие: 7442, 7443, 7444, 7550, 7080, 7447. Им реально нужно сделать Viewer, чтобы можно было видеть, что происходит.

LundMilo

Guest

#10

29.05.2021 15:47:00

Почему бы не использовать фильтрацию по MAC-адресам на портах, к которым подключены камеры? Так к порту смогут подключаться только устройства с правильным MAC-адресом. Я понимаю, что можно сделать клонирование MAC, но в этом случае нужно знать MAC-адрес камеры. С уважением,

Mitka Guest	#11 29.05.2021 12:15:00 Эта ссылка перенаправляет на общую страницу. Есть идеи, куда теперь переместили информацию? https://help.ubnt.com/hc/en-us/articles/360015519974-UniFi-Protect-Ports-Used

jpdub3

Guest

#12

15.04.2021 03:21:00

Я тоже об этом думаю. Мне удалось настроить камеру в отдельном VLAN без доступа к интернету. Я создал правила, которые позволяют моей камере и CloudKey Gen2 Plus обмениваться данными, но хотел бы сузить доступ, оставив только действительно необходимые порты.

GERChris Guest	#13 13.04.2021 15:48:00 Есть какие-нибудь новости? Поменялись порты?

josefk Guest	#14 18.02.2021 18:48:00 Привет, я даже не могу подключиться к камерам из другой (маршрутизируемой) подсети.

Erikvl87

Guest

#15

12.01.2021 15:55:00

У меня такая же проблема, как у @laemen. Если я меняю правило фаервола и ставлю "Port group" на "Any" вместо указанных в документации портов, камеры снова начинают работать. Похоже, что порты были изменены. Не могли бы вы предоставить обновленный список необходимых портов?

laemen

Guest

#16

28.12.2020 23:09:00

У меня всё работало нормально с двумя G3 и одним G4 Pro, но после обновления CloudKey до версии 2.0.24 с Protect 1.16.9 это перестало работать. Я настроил всего 4 порта (7442, 7444, 7447 и 7550) и в группе IPv4 был только IP Cloud Key, но добавление портов 7080 и 7443 в группу портов и USG в группу IPv4 не помогло. Порты свича перевёл обратно в мою LAN-сеть — теперь Protect видит камеры, но, естественно, они уже не изолированы. Камеры обновились через Protect после подключения. Protect использует другие порты?

alessior Guest	#17 21.09.2020 00:11:00 @sergiobuonanno, с твоей настройкой получилось вывести камеры на странице unifi protect? У меня такая же конфигурация, но до сих пор не получается всё заставить работать

sergiobuonanno Guest	#18 20.08.2020 16:02:00 Возможно, ещё не поздно дать пару подсказок. У меня такая же ситуация: 4 уличные камеры Unifi, которые подключены к одному и тому же коммутатору Unifi и CK GEN2+ в моей локальной сети. Мне удалось изолировать камеры от остальной домашней сети следующим образом: 1) Создал новую LAN с названием SURVEILLANCE, VLAN ID = 2 и отдельным диапазоном подсети. 2) Переместил 4 камеры в SURVEILLANCE, заставив профиль каждого порта коммутатора, к которому они подключены, использовать сеть Networks/SURVEILLANCE, чтобы камеры работали в подсети SURVEILLANCE. 3) В настройках брандмауэра создал новую группу портов и добавил в неё порты: 7442, 7444, 7443, 7447, 7550, 7080 (все порты, которые используют камеры — Unifi Protect). 4) Создал в настройках брандмауэра новую IPv4-группу из 2 IP — IP USG и CK. 5) Создал правило "LAN In" в брандмауэре с исходящей сетью SURVEILLANCE и назначением на группы портов и адресов из пунктов 3 и 4, чтобы устройства из SURVEILLANCE могли обращаться только к IP USG и CK и только по портам камер. Это правило "Разрешить" и его нужно поставить выше предустановленных правил. 6) Создал правило "LAN In" Drop с исходящей сетью SURVEILLANCE и назначением на LAN сеть. Оно должно идти после правила из пункта 5, чтобы весь трафик из SURVEILLANCE, не предназначенный для GK & USG или на порты вне списка камер (7xxx...), блокировался. 7) И, наконец, создал правило "WAN Out" Drop для всего трафика из SURVEILLANCE, направленного в интернет (Any Address/Port Group), чтобы все устройства, подключённые через SURVEILLANCE (камеры), не могли напрямую выходить в интернет. Вот и всё. Таким образом я ограничил камеры от общения с любыми другими устройствами в LAN и WAN — только с CK и USG и только по портам 7442, 7444, 7443, 7447, 7550, 7080. Было бы проще и безопаснее, если бы камеры поддерживали подключение через RADIUS, VPN или другие более надёжные протоколы.

Читают тему (гостей: 1)