Bem-vindo à Comunidade UBNT

Utilizar restrição DPI apenas em failover

Boa tarde.

Novato por aqui.

Situação:

USG 3P com WAN1 em link de 120mb e modem lte conectado em failover na WAN2.

Pergunta:

É possível bloquear acesso a protocolos de alto consumo, tais como streaming media e social network apenas quando estiver em failover, ou seja, o bloquear esse tráfego apenas para a WAN2?

Obrigado

Comentários

  • R4V3RR4V3R 8528 Pontos
    Não.
  • R4V3R disse:
    Não.
    Obrigado.
      
    Pela quantidade de pontos (8500) você deve saber o que está falando, porém é frustrante o equipamento ter DPI, ter restrição por DPI e não ter utilidade para uma situação relativamente simples. :-(
  • R4V3RR4V3R 8528 Pontos
    Bom, você pode ter políticas de restrições diferentes para subredes internas(VLANs tipicamente) diferentes... Isso é o que importa do ponto de vista do USG/UDM, até porque eles não tem um controle aprimorado da WAN2, ela serve apenas pra failover ou load-balance mesmo, nem sequer redirecionamento de portas é possível fazer com a WAN2...
    Isso ser dá, porque estes são equipamentos feitos para serem simples de usar, semi automáticos, e desta forma, certamente mais "amarrados" e com menos funcionalidades do que outros dispositivos, como os edgerouters por exemplo, que são BEM mais flexíveis em termos de configurações, ao custo de serem mais complexos de se utilizar(varia de acordo com o ponto de vista, claro).

  • Pensei que fosse possível. Nem que fosse com configurações avançadas com o arquivo config.gateway.json.

    Para o EdgeRouter encontrei esse artigo: https://help.ui.com/hc/en-us/articles/218732788

    No entendimento seu e dos demais participantes regras semelhantes às do artigo resolveriam a questão por mim levantada?

    Estou pensando em adquirir um ER-X e preciso ter certeza que vai funcionar para o meu propósito.

    Obrigado.
  • R4V3RR4V3R 8528 Pontos
    Bom o DPI nas duas linhas, UniFi e EdgeRouter não é igual, então ela não funciona exatamente da mesma forma e/ou com a mesma flexibilidade.
    O USG pode ser configurado quase como um edgerouter via linha de comando, os equipamentos e sistema operacional não são 100% iguais, mas são talvez 95% iguais, só que qualquer coisa que você alterar manualmente no USG, será perdida após um reboot, a nao ser que você use o arquivo config.gateway.json que você já descobriu.. https://help.ui.com/hc/en-us/articles/215458888-UniFi-USG-Advanced-Configuration-Using-config-gateway-json
    Isso é por sua conta e risco, essa não é uma operação oficialmente recomendada ou suportada, você está por conta própria.. não irá danificar o equipamento e pode vir a ter sucesso, mas sinceramente, não vale muito à pena, é melhor usar um edgerouter. ;)
  • Entendi. Obrigado.

    No artigo para o EdgeRouter: https://help.ui.com/hc/en-us/articles/218732788 é dado como exemplo uma interface LAN.

    Eu gostaria de saber se é possível no EdgeRouter bloquear o tráfego de alto consumo (como streaming media e social network) apenas em failover, ou seja quando o tráfego estiver passando por uma determinada WAN?

    Obrigado.
  • R4V3RR4V3R 8528 Pontos
    Bom, no Edgerouter as restrições por DPI são aplicadas à nível de regras de firewall, e estas são atreladas à interfaces específicas. Como há bem mais flexibilidade, pode ser possivel fazer o que você descreve, eu não tenho como confirmar pois não uso DPI pra efetivamente bloquear tráfego, além do que seu setup é algo bem específico, claro.
  • Grato. :-)
  • Fiz assim no USG 3P:

    set firewall name DPI default-action accept
    set firewall name DPI description "Servicos de alto consumo"
    set firewall name DPI rule 10 application category Media-streaming-services
    set firewall name DPI rule 10 action drop
    set firewall name DPI rule 20 application category Social-Networks
    set firewall name DPI rule 20 action drop

    set interfaces ethernet eth2 firewall in name DPI

    commit

    eth2 configurada como WAN2

    Funcionou. Os serviços de streaming (Netflix) e redes sociais (Instagram) foram interrompidos apenas quando a interface WAN2 estava sendo utilizada.

    Mas sem persistência.

    Continuando nos estudos...

    Obrigado

    PS.

    Se funcionou no USG tem tudo para funcionar no EdgeRouter.
  • Consegui a persistência.

    Criei um arquivo de nome config.gateway.json em /var/lib/unifi/sites/default da controladora.

    Conteúdo do arquivo:

    {
        "firewall": {
            "name": {
                "DPI": {
                     "default-action": "drop",
                     "description": "Servicos de alto consumo",
                     "rule": {
                           "1001": {
                               "action": "drop",
                               "description": "bloqueia acesso a servicos de media",
                               "application": {
                                   "category": "Media-streaming-services"
                               }
                           },
                           "1002": {
                               "action": "drop",
                               "description": "bloqueia acesso a redes sociais",
                               "application": {
                                   "category": "Social-Networks"
                               }
                           },
                           "1003": {
                               "action": "accept",
                               "description": "permite secoes estab/relacionadas",
                               "state": {
                                   "established": "enable",
                                   "invalid": "disable",
                                   "new": "disable",
                                   "related": "enable"
                               }
                           },
                           "1004": {
                           "action": "drop",
                           "description": "bloqueia estado invalido",
                           "state": {
                               "established": "disable",
                               "invalid": "enable",
                               "new": "disable",
                               "related": "disable"
                               }
                           }
                       }
                   }
               }
           },
        "interfaces": {
            "ethernet": {
                "eth2": {
                    "firewall": {
                        "in": {
                            "name": "DPI"
                        }
                    }
                }
            }
        }
    }
Entre ou Registre-se para fazer um comentário.