Bem-vindo à Comunidade UBNT

Drop na rede 192.168.0.0/16

A ideia é: Todo acesso a rede social dropado e midia (netflix, vimeo, etc..). Agora como liberar um acesso a um host para dentro da rede dropada 192.168.0.0/16, tipo amarrar mac+ip e subir este host para não passar pelo drop no edge router?

Comentários

  • R4V3RR4V3R 8500 Pontos
    Hm, sua descrição está meio nebulosa, difícil de entender, mas de maneira geral você tem que trabalhar de maneira adequada com as regras de firewall, as regras são lidas e executadas de maneira sequencial, então se você tem uma regra que permite determinado tráfego acima de uma que nega aquele tipo de tráfego, então ele será aceito. A questão é justamente a idéia de precedência das regras, OK?
  • Não está nebuloso! (risos)
    1> 192.168.0.0/16 drop no firewall de sites (social network and video anything)
    2> Um suposto chefe...pediu pra libera apenas um pc com exceção à regra! (seria um ip+mac) acima da regra drop! Onde no edgerouter faço a liberação. Need help!
  • R4V3RR4V3R 8500 Pontos
    Eu digo que está nebuloso pois você começa descrevendo uma solução, sem nem sequer citar o que tem no seu ambiente, eu presumo que você esteja falando(e utilizando) algum modelo de edgerouter apenas porque você postou nessa área, porém não sabemos o modelo ou configurações específicas e também poderia ser um roteador de outra linha, como o USG, que altera bastante as coisas neste sentido.
    Você também não descreve se você já tem as regras de bloqueio implantadas e funcionando, ou se isso é parte do que você ainda pretende fazer, e sendo o segundo caso, não descreve como espera fazer isso, sendo que o firewall stateful de camada 3/4 presente nestes equipamentos não tem suporte à bloqueio de URLs, apenas de endereços IP e/ou portas, o que pode complicar drasticamente as coisas neste sentido.
    Ademais, minha recomendação está muito clara acima, as regras de um firewall deste tipo são analisadas de maneira sequencial, se você colocar uma exceção acima de uma regra, o funcionamento será exatamente o que você espera, OK?
    Se você precisa de ajuda neste sentido, então tem duas opões:
    1) Explique em detalhes os pontos que descrevo acima, e poste a configuração completa do roteador(em texto, via SSH "show configuration") para que possamos analisar;
    2) Contrate consultoria de uma empresa ou profissional qualificado para entender seu ambiente e poder direcionar para uma solução adequada;
  • Certo.
    Meu router é um EdgeRouter™ X SFP.
    As regras drop estão ok no firewall.
    Tenho 3 Vlans.
    O que preciso (um pc com exceção à regra! (seria um ip+mac) acima da regra drop!)

    Pergunto isso pois tenho um apliance Netgate pfSense rodando bem e  muito mais muito flexivel quanto as regras (nele consigo perfeitamente ip+mac passando pelo drop do mesmo). pergunto no forum...pois comprei um x sfp e um modulo de fibra estar para chegar. pois estou conhecendo o produto, gosto da filosofia da Unifi...
    Penso que está bem explicado agora. Terei que seguir o mesmo sentido do pfsense em verificar qual ip do pc no dhcp lease pois la me informa o mac e crio a regra? é semelhante? ou há outro caminho?


  • R4V3RR4V3R 8500 Pontos
    editado abril 2018
    A regra pode ser "amarrada" com um mac address se, e some se, a subrede onde encontra-se este dispositivo estiver diretamente conectada à este roteador, caso contrário "mac address" não tem nenhuma relevância, sendo este um recurso de camada 2 apenas.
    Dito isso, sim, você pode fixar um endereço IP no seu servidor DHCP para quaisquer número de dispositivos, e depois criar uma regra no roteador que vai servir como exceção à sua regra de bloqueio, e para isso basta que ela esteja "acima", ou efetivamente com um número menor do que a regra que faz o bloqueio.
    Ex: se a regra que bloqueia o tráfego é a "rule 100", então basta que sua regra de exceção seja a rule 99 ou inferior.
    É possível criar múltiplas regras, sendo uma para cada end. IP de origem, ou ainda criar um "firewall group address-group", contendo todos os endereços IP que seriam exceção, e apontar este grupo na regra.
  • Obrigado!
Entre ou Registre-se para fazer um comentário.