Bem-vindo à Comunidade UBNT

Firewall - Drop Access (Bloqueio de Acesso)

Olá,

Tenho um EdgeRouterX v1.10.8, e preciso fazer uma regra para bloquear o acesso a internet a um range especifico de IP na minha rede.

Estamos implementando coletores que possui opção de navegar na internet e baixar aplicativos, e gostaria de evitar que esse equipamentos pudessem acessar a internet.

Fiz algumas tentativas de regras, porém todas sem sucesso.

Comentários

  • UI-SamuelUI-Samuel 810 Pontos
    editado fevereiro 7
    Dê uma olhada no artigo abaixo para entender melhor as regras de firewall no EdgeRouter. O artigo explica como criar regras para fazer o bloqueio (drop) de todo tráfego vindo da WAN para o roteador (WAN-LOCAL) e também da WAN para a rede interna (WAN-IN), permitindo apenas o tráfego de retorno de comunicação iniciada pela rede local. 

    https://help.ubnt.com/hc/en-us/articles/204962154-EdgeRouter-How-to-Create-a-WAN-Firewall-Rule

    Para impedir que os coletores tenham acesso externo basta criar uma regra de negação (drop) para o endereço de destino 0.0.0.0/0 (any) na interface que é gateway dessa sub-rede, dessa forma nenhuma passagem de tráfego originada pela rede local dos coletores será permitida. Caso os coletores tenham que comunicar com outras sub-redes locais, basta criar regras de permissão (accept) para as sub-redes específicas antes da regra de negação de todo o restante. 
  • lucasvieir4lucasvieir4 0 Pontos
    editado fevereiro 7
    Dê uma olhada no artigo abaixo para entender melhor as regras de firewall no EdgeRouter. O artigo explica como criar regras para fazer o bloqueio (drop) de todo tráfego vindo da WAN para o roteador (WAN-LOCAL) e também da WAN para a rede interna (WAN-IN), permitindo apenas o tráfego de retorno de comunicação iniciada pela rede local. 

    https://help.ubnt.com/hc/en-us/articles/204962154-EdgeRouter-How-to-Create-a-WAN-Firewall-Rule

    Para impedir que os coletores tenham acesso externo basta criar uma regra de negação (drop) para o endereço de destino 0.0.0.0/0 (any) na interface que é gateway dessa sub-rede, dessa forma nenhuma passagem de tráfego originada pela rede local dos coletores será permitida. Caso os coletores tenham que comunicar com outras sub-redes locais, basta criar regras de permissão (accept) para as sub-redes específicas antes da regra de negação de todo o restante. 
    @UBNT-Samuel

    Neste meu cenário os coletores estão na mesma rede que toda a empresa, não poderia bloquear toda a rede.
    Apenas um range de IPs.

    Exemplo: Drop - 192.168.20.90-100/24
  • UI-SamuelUI-Samuel 810 Pontos
    editado fevereiro 7
    O ideal seria vocês terem isolado os coletores em uma sub-rede própria justamente para simplificar a aplicação de diferentes políticas de segurança, por exemplo nesse caso da escrita de regras de firewall. No entanto, também é possível fazer as regras com os coletores na mesma sub-rede das demais máquinas. 

    Existem várias opções para alcançar esse seu objetivo, então vou listar apenas 3:

    1) Escrever múltiplas regras de negação (drop) fazendo referência a cada um dos IPs dos hosts (/32) no campo source da regra, sempre apontando para 0.0.0.0/0 no campo destination;

    2) Na opção "Firewall/NAT Groups" criar um novo grupo denominado COLETORES com todos os endereços dos coletores. Feito isso, basta escrever a regra de negação (drop) na opção "Firewall Policies", só que dessa vez será possível selecionar o grupo COLETORES em vez de informar um IP específico;

    3) Utilizar um range de IPs para os coletores que coincida com um bloco CIDR /X. Por exemplo, se sua sub-rede é 192.168.20.0/24, você pode isolar o range 192.168.20.1 até 192.168.20.14 através do prefixo 192.168.20.0/28, já que a máscara /28 (255.255.255.240) compreende 16 endereços dos quais 14 são válidos. Você pode escolher qualquer range dentro dessa lógica, por exemplo 192.168.20.16/28 compreende os endereços que variam de 192.168.20.17 até 192.168.20.30, e assim sucessivamente... É uma questão de fazer as contas e ajustar o range de endereços dos seus coletores. 

    Enfim, são muitas as possibilidades...
Entre ou Registre-se para fazer um comentário.