Bem-vindo à Comunidade UBNT

Não acesso minha rede

Tenho um edgerouter x em uma unidade, preciso de fazer umas rotas para outras redes e liberar o protocolo smb, so tem essas regras no firewall:

E também não consigo acessar pelo IP na porta WAN_IN.

Também estou usando failover, na eth0 e eth1, configurado pelo assistente. As outras portas estão em bridge. com 4 vlans, isso esta show, tudo ok. Somente o acesso a ela e o acesso externo não vai.

Desde já agradeço.
show firewall name WAN_IN default-action drop description "WAN to internal" rule 10 {     action accept     description "Allow established/related"     state {         established enable         related enable     } } rule 20 {     action drop     description "Drop invalid state"     state {         invalid enable     } }




show firewall name WAN_LOCAL
 default-action drop
 description "WAN to router"
 rule 10 {
     action accept
     description "Allow established/related"
     state {
         established enable
         related enable
     }
 }
 rule 20 {
     action drop
     description "Drop invalid state"
     state {
         invalid enable
     }
 }
Rotulado:

Comentários

  • UI-SamuelUI-Samuel 810 Pontos
    Você tem apenas as regras padrões criadas pelo assistente, então nenhum acesso externo destinado ao seu ER (WAN_LOCAL) ou mesmo à LAN (WAN_IN) será permitido, exceto aquele tráfego estabelecido que foi originado internamente. Você tem que criar as novas regras com base nas suas necessidades específicas. Recomendo a leitura do artigo abaixo para entender o firewall padrão do ER.

    https://help.ubnt.com/hc/en-us/articles/204962154-EdgeRouter-How-to-Create-a-WAN-Firewall-Rule
  • Obrigado Samuel.
    Descobri que o firewall vem com politicas default como drop. Por enquanto vou usar accept, deixar funcionando.
    Deu certo agora.
  • UI-SamuelUI-Samuel 810 Pontos
    Ok, só esteja ciente de que deixar o firewall com política padrão em accept é equivalente a não ter firewall nenhum se não existirem regras precedentes de negação (drop).
  • Não é igual ao iptables? Mesmo sendo accept ele ainda faz uma proteção de pacotes???
  • UI-SamuelUI-Samuel 810 Pontos
    Se a política padrão de qualquer firewall for accept, isso quer dizer que todo tráfego será permitido a menos que haja alguma regra precedente de negação, uma abordagem que denominamos "firewall da caixa branca". A abordagem mais segura é aquilo que denominados "firewall da caixa preta" em que a política padrão é negar tudo (drop), exceto aquelas regras precedentes de permissão. 

    Por padrão o assistente do EdgeRouter usa uma abordagem híbrida de firewall stateful para simplificar sua configuração aos leigos em SI. Dessa forma, todo tráfego vindo de fora é negado porque é considerado um risco, exceto tráfego daquela comunicação que tenha sido originada internamente que é considerado legítimo. Quando você muda a política padrão do firewall de drop para accept, você está anulando essa lógica e passa a ter uma caixa branca que permite tudo, pelo menos até que você escreva suas regras de negação.
  • R4V3RR4V3R 8417 Pontos
    Não é igual ao iptables? Mesmo sendo accept ele ainda faz uma proteção de pacotes???
    Não existe "proteção de pacotes" se a política padrão for ACCEPT e você não tiver nenhuma regra anterior que trate cada tipo de tráfego. Isso vale pra iptables que é o que existe "por baixo dos panos" no EdgeOS, que é apenas uma casca e interface de gerenciamento mais amigável neste sentido. ;)
  • Eita. Então tenho que apreUBNT-Samuel disse:
    Se a política padrão de qualquer firewall for accept, isso quer dizer que todo tráfego será permitido a menos que haja alguma regra precedente de negação, uma abordagem que denominamos "firewall da caixa branca". A abordagem mais segura é aquilo que denominados "firewall da caixa preta" em que a política padrão é negar tudo (drop), exceto aquelas regras precedentes de permissão. 

    Por padrão o assistente do EdgeRouter usa uma abordagem híbrida de firewall stateful para simplificar sua configuração aos leigos em SI. Dessa forma, todo tráfego vindo de fora é negado porque é considerado um risco, exceto tráfego daquela comunicação que tenha sido originada internamente que é considerado legítimo. Quando você muda a política padrão do firewall de drop para accept, você está anulando essa lógica e passa a ter uma caixa branca que permite tudo, pelo menos até que você escreva suas regras de negação.
    Entendi, obrigado pela aula, muito bom mesmo. Grande abraço. Agora e estudar. rsrsrsrs
  • R4V3R disse:
    Não é igual ao iptables? Mesmo sendo accept ele ainda faz uma proteção de pacotes???
    Não existe "proteção de pacotes" se a política padrão for ACCEPT e você não tiver nenhuma regra anterior que trate cada tipo de tráfego. Isso vale pra iptables que é o que existe "por baixo dos panos" no EdgeOS, que é apenas uma casca e interface de gerenciamento mais amigável neste sentido. ;)
    Entendi, obrigado.
Entre ou Registre-se para fazer um comentário.