Bem-vindo à Comunidade UBNT

Bloquear acesso a dispositivos conectados ao mesmo AP.

narangomesnarangomes 8 Pontos
editado maio 2015 em UniFi Wireless

Bom dia pessoal, estou procurando uma forma de impedir que um dispositivo que está conectado em um AP se conecte a outro dispositivo conectado no mesmo AP.

A versão do Controller que eu estou usando é a 3.2.9 e a versão do firmware que está no AP é a 3.2.9.2872.

 

Desde já, agradeço.

Comentários

  • sgoissgois 0 Pontos

    É só marcar "Client isolation" no seu roteador wifi.

  • Onde fica essa opção no Controller, por que eu não consegui acha-la? Como eu disse a versão do Controller que estou usando é a 3.2.9.

  • De qualquer forma eu consegui achar o comando linux que seta essa configuração:

     

    iwpriv ath0 ap_bridge 0

    O comando acima indica que os dispositovos conectados àquela interface não se comunicam, o valor padrão é o 1 que quer dizer o contrário.

     

  • R4V3RR4V3R 8480 Pontos

    Fazer isso via iwpriv não é a forma recomendada, até porque não é permanente. O recurso que você está procurando está nas configurações de cada SSID na controladora e chama-se "guest policy", e o que ela faz é justamente isolar os clientes Wi-Fi, impedindo a comunicação entre eles.

  • Entendi, já ví testei e funcionou, muito obrigado. Existe alguma forma em que consiga criar exceções para essa regra? Pois eu não gostaria que os dispositivos pudessem se conectar, com exceção das impressoras; essas eu gostaria que tivessem a possibilidade de se comunicar com alguns dispositivos específicos na rede. Sem alguém souber alguma técnica ou algum caminho para se fazer isso, eu agradeceria muito.

  • conectivaconectiva 14 Pontos

    Achei num topico, vê se te ajuda

     

    6) sobre o guest, nao utilizo este recurso, tenho apenas uma ssid aberta, onde pega a faixa de ip publica automaticamente, e para quem precisa acessar a faixa administrativa, recebe o ip via dhcp, porém com o mac gravado, está não é uma boa prática?

    Nem de longe esta é uma boa prática, na verdade é uma péssima prática. Primeiro que não é recomendado misturar tráfego da área administrativa com o restante. Segundo que sua rede adminsitrativa é acessível em um SSID sem senha? Sério? Segurança zero?

    O correto é ter dois SSIDs distintos, mesmo que você não utilize switches gerenciáveis para segregar cada tipo de tráfego em sua própria VLAN. Mesmo usando uma subrede única, você deveria ter um SSID chamado ADM, por exemplo, com guest policies desativado e COM SENHA, preferencialmente WPA2-AES CCMP. Se os endereços IP serão fixos ou não no servidor DHCP é uma escolha sua, e neste caso talvez até seja interessante. Neste SSID vai todo o tráfego administrativo, a senha deve ser passada somente à pessoas autorizadas, e também deve ser modificada periodicamente, preferencialmente a cada um ou dois meses.

    Já no segundo SSID, você poderia colocar o nome ALUNOS. Este até pode ser aberto, sem senha, mas deve ter a função guest policy ATIVADA, pois isso impede a comunicação entre os clientes e com demais recursos da rede local, a única coisa disponível é o acesso à internet através do gateway default, mais nada. Se você precisar permitir acesso à um recurso local, um sistema qualquer, basta adicionar como exceções nas configurações da controladora em guest control/allowed subnets. Se quiser permitir acesso à um servidor web apenas(por exemplo), que tenha o endereço IP 10.1.1.254, basta adicionar neste local desta maneira: 10.1.1.254/32.

  • R4V3RR4V3R 8480 Pontos

    Não há necessidade de "técnica", isso é previsto e pode ser feito tranquilamente.

    Na interface da controladora em settings/guest control você tem duas colunas, "restricted subnets" q já é preenchida com os endereços de todas as redes privadas possíveis, de acordo com a RFC1918, efetivamente bloqueando o acesso à qualquer recurso em qualquer rede destas. E na direita há uma coluna escrito "allowed subnets", que é justamente aonde você adiciona a exceções, por exemplo:

    Se quiser permitir acesso à uma impressora de rede que esteja no endereço 192.168.0.100, você adicionaria uma entrada nesta coluna da seguinte maneira: 192.168.0.100/32

     

    EDIT: basicamente o que foi mencionado acima pelo @conectiva, que na verdade é um texto meu :smileyvery-happy:

  • conectivaconectiva 14 Pontos

    Mesmo minha rede sendo /16 ou /24 eu ultilizo o ip+/32 para liberar um acesso?

  • R4V3RR4V3R 8480 Pontos

    /32 quer dizer justamente o próprio host, unicamente ele. Você pode liberar hosts ou subredes inteiras de acordo com a necessidade, ajustando-se, para isso, a máscara de subrede.

  • conectivaconectiva 14 Pontos

    Entendido.

     

    Estou lendo umas informaçoes de sua autoria e verifiquei que à uma forma de bloqueio de alguns sites para nao fazerem atualizaçoes. ("Há também alguns sites bloqueados no roteador (squid3), principalmente relacionados a spywares / malwares / vírus ou atualizações desnecessárias como janelas ou antivírus, wich são bastante grandes atualizações nos dias de hoje. Os alunos que não tem que atualizar esse tipo de softwares neste lugar, eles podem fazê-lo em outro lugar.)

     

    Teria como fazer esse bloqueio através do Restricted Subnets?

  • R4V3RR4V3R 8480 Pontos

    conectiva wrote:

    Entendido.

     

    Estou lendo umas informaçoes de sua autoria e verifiquei que à uma forma de bloqueio de alguns sites para nao fazerem atualizaçoes. ("Há também alguns sites bloqueados no roteador (squid3), principalmente relacionados a spywares / malwares / vírus ou atualizações desnecessárias como janelas ou antivírus, wich são bastante grandes atualizações nos dias de hoje. Os alunos que não tem que atualizar esse tipo de softwares neste lugar, eles podem fazê-lo em outro lugar.)

     

    Teria como fazer esse bloqueio através do Restricted Subnets?


    Para sites pequenos, e estáticos, sim. Para portais grandes, não.

    Porque não? Porque utilizam CDNs para distribuição de conteúdo, os quais por sua vez utilizam milhares de endereços IP e/ou subredes diferentes, e primeiro que você teria que descobrir todos eles, o que não é impossível mas é trabalhoso, e em segundo lugar teria que listar todos na controladora o que é impossível pois há um limite de 20 entradas que é o que você pode colocar nestes campos.

    A controladora UniFi não foi feita para isso, simplesmente não é o local correto para se bloquear sites, isso se faz em um firewall e/ou proxy.

  • conectivaconectiva 14 Pontos

    Ok, Entendi...:thumbsup:

  • Vou fazer um teste criando um novo SSID com senha, para os dispositivos que eu quero que se conectem, depois eu posto resultado aqui. Achei que das duas opções é a que melhor se encaixa com as minhas necessidades.

  • Bom dia pessoal. Fiz os testes e realmente foi uma boa solução, um SSID com regras de bloqueio para o tráfego comum e outro SSID hidden, com senha e sem regras de bloqueio para os dispositivos que fazem parte da administração.

    Valeu pela dica.

Entre ou Registre-se para fazer um comentário.