Nanostatoin M5 firewall

Návody a problémy s konfigurací.
Le_Ze
Příspěvky: 35
Registrován: 4 years ago

Nanostatoin M5 firewall

Příspěvekod Le_Ze » 5 months ago

Zdravím Vás a prosím o radu.
Internet od providera na 192.168.1.1 a routuje
Ip s DHCP 1.100 1.200
Přijem od providera je pichlý do switche.

Do switche připojene nove zařizení Nanostatoin M5 jako acceess point - bridge
Na něj je připojeno Nanostatoin M5 jako station - bridge a lan pichla do switch.
Potřebují, aby všem, co jsou pichli do toho switche nejel internet, tedy zakazan 80 port.
Poradite?
Předem děkují
0 x

Sidi
Příspěvky: 325
Registrován: 3 years ago

Příspěvekod Sidi » 5 months ago

Předpokládám, že se jedná o nějaký "tupý" switch. Tam to nastavit nepůjde.

Bude potřeba to nastavit na routeru (aby dotazy z ethx na port 80/443 byly blokovány). Ideálně tam udělat nový subnet (např. 192.168.2.0/24) a nastavit pravidla na daný subnet.

Záleží na důvodech a použitém HW, podle toho se dá vybrat vhodně řešení - nebylo napsáno nic, takže konkrétní rady nelze napsat.
0 x

Le_Ze
Příspěvky: 35
Registrován: 4 years ago

Příspěvekod Le_Ze » 5 months ago

Jsem je kupovali v i4wifi.
Než jsm je koupil, tak jsem jim psal.
Michal Vyhnalík produktový manažer Ubiquiti

Tvrdíl mi, že i když jsou nanoše v bridge, funguje firewall a to co potřebují, se da nastavít přimo v ních
0 x

rsaf
Příspěvky: 1187
Registrován: 12 years ago

Příspěvekod rsaf » 5 months ago

Tak proč píšeš sem a ne Vyhnalíkovi, který ti tu tvojí hovadinu odkýval?

Tímto netvrdím, že to nejde ale je to prostě celé blbě vymyšlené. Internet se nevypíná blokací 80/443 někde na bezdrátovém spoji, část sítě s blokovaným internetem by měla být ideálně oddělena např. do VLANy příp. pokud je zajištěno že si uživatelé nebudou sami měnit IP adresy (nemají práva, ARP inspection na switchi apod.) tak se pravidla nastaví na routeru/firewallu na jednotlivé IP.
0 x

Sidi
Příspěvky: 325
Registrován: 3 years ago

Příspěvekod Sidi » 5 months ago

Le_Ze píše:Jsem je kupovali v i4wifi.
Než jsm je koupil, tak jsem jim psal.
Michal Vyhnalík produktový manažer Ubiquiti

Tvrdíl mi, že i když jsou nanoše v bridge, funguje firewall a to co potřebují, se da nastavít přimo v ních

Obchoďáci odkývají cokoliv, jen aby zákazník nakoupil (bývalý šéf se divil, když jsem mu řekl jak moc mu 17Ghz Alcomy jedou mimo limity - montováno přímo Alcomou, myslel si, že je vše "košér")

Když si to vymyslel, tak ať ti pošle konkrétní návod. Ale stačí použít jiný port/VPN a uživatel je hned na internetu. Stále nevíme účel sítě a jejího omezení, takže se stále nedá poradit konkrétně.
1 x

Le_Ze
Příspěvky: 35
Registrován: 4 years ago

Příspěvekod Le_Ze » 5 months ago

Poslal mi v e-mailu i odkaz na ubiquiti forum, kde to probirali a psali tam že to funguje.
Už ho 2 dny hledam.

A v obou nanošicch - network - Configuration Mode jde zapnout advanced mod i když jsou jako bridge.
0 x

ludvik
Příspěvky: 4203
Registrován: 8 years ago

Příspěvekod ludvik » 5 months ago

Firewall v AirOS je sice dost zjednodušený a otravně konfigurovatelný, ale funguje jak v router módu, tak v bridge.
0 x
Ohledně GDPR již nediskutuji. Když nic nevím, musím si to nastudovat jinde - a pak už to vím a nemám potřebu diskutovat zde.

Le_Ze
Příspěvky: 35
Registrován: 4 years ago

Příspěvekod Le_Ze » 5 months ago

A neporadíš jak na to?
0 x

ludvik
Příspěvky: 4203
Registrován: 8 years ago

Příspěvekod ludvik » 5 months ago

Proč si to prostě nevyzkoušíš? Vždyť víš, co chceš ... víš interface, víš protokol, víš porty. A slůvko DROP a ACCEPT si přelož.
Jediné, co je matoucí je, že tam není napsaný co znamená interface. Znamená to input-interface.
A nutno myslet na to, že firewall je shodný pro INPUT i FORWARD. Čili je potřeba zkontrolovat, na kterém portu běží samotné GUI toho UBNT (a rovnou zapnout https) a pro jistotu přehodit jinam, aby jsi to nezablokoval. Nevím, jestli to je v AirOS ošetřený.
0 x
Ohledně GDPR již nediskutuji. Když nic nevím, musím si to nastudovat jinde - a pak už to vím a nemám potřebu diskutovat zde.

Le_Ze
Příspěvky: 35
Registrován: 4 years ago

Příspěvekod Le_Ze » 5 months ago

Jsem snad vyzkoušel všechno a internet furt jede.
http://img24.cz/images/57263204932356463809.png
0 x

Filiph1
Příspěvky: 18
Registrován: 2 years ago

Příspěvekod Filiph1 » 5 months ago

Gratuluju prave si zablokoval traffic mezi source subnet 192.168.1.0/24 source port 80 a destination subnet 192.168.1.0/24 destination port 80
0 x

Le_Ze
Příspěvky: 35
Registrován: 4 years ago

Příspěvekod Le_Ze » 5 months ago

Děkují za info, to se tu fakt nenajde něko, kdo by pomohl?
0 x

Filiph1
Příspěvky: 18
Registrován: 2 years ago

Příspěvekod Filiph1 » 5 months ago

Tak treba destination by mel byt any ne?
0 x

Le_Ze
Příspěvky: 35
Registrován: 4 years ago

Příspěvekod Le_Ze » 5 months ago

Filiph1 píše:Tak treba destination by mel byt any ne?


Už nejede :relaxed:
Ješte jeden dotaz.
Jde nastavít rozsah blokovaných portu, třeba 80-443?
Jsem hledal a všude nastavují jen jeden.
https://community.ubnt.com/t5/airOS-Sof ... d-p/476397
0 x

Ivan Bruna
Příspěvky: 143
Registrován: 6 years ago

Příspěvekod Ivan Bruna » 5 months ago

Zkus dvojtečku:
80-443 = 80:443
0 x


Zpět na „Konfigurace“

Kdo je online

Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 0 hostů