Firewall - Drop Access (Bloqueio de Acesso)

Comentários

• UI-Samuel 1212 Pontos

  fevereiro 2019 editado fevereiro 2019

  Dê uma olhada no artigo abaixo para entender melhor as regras de firewall no EdgeRouter. O artigo explica como criar regras para fazer o bloqueio (drop) de todo tráfego vindo da WAN para o roteador (WAN-LOCAL) e também da WAN para a rede interna (WAN-IN), permitindo apenas o tráfego de retorno de comunicação iniciada pela rede local. 
  
  https://help.ubnt.com/hc/en-us/articles/204962154-EdgeRouter-How-to-Create-a-WAN-Firewall-Rule
  
  Para impedir que os coletores tenham acesso externo basta criar uma regra de negação (drop) para o endereço de destino 0.0.0.0/0 (any) na interface que é gateway dessa sub-rede, dessa forma nenhuma passagem de tráfego originada pela rede local dos coletores será permitida. Caso os coletores tenham que comunicar com outras sub-redes locais, basta criar regras de permissão (accept) para as sub-redes específicas antes da regra de negação de todo o restante. 
  
• lucasvieir4 2 Pontos

  fevereiro 2019 editado fevereiro 2019

  UBNT-Samuel disse:

  Dê uma olhada no artigo abaixo para entender melhor as regras de firewall no EdgeRouter. O artigo explica como criar regras para fazer o bloqueio (drop) de todo tráfego vindo da WAN para o roteador (WAN-LOCAL) e também da WAN para a rede interna (WAN-IN), permitindo apenas o tráfego de retorno de comunicação iniciada pela rede local. 
  
  https://help.ubnt.com/hc/en-us/articles/204962154-EdgeRouter-How-to-Create-a-WAN-Firewall-Rule
  
  Para impedir que os coletores tenham acesso externo basta criar uma regra de negação (drop) para o endereço de destino 0.0.0.0/0 (any) na interface que é gateway dessa sub-rede, dessa forma nenhuma passagem de tráfego originada pela rede local dos coletores será permitida. Caso os coletores tenham que comunicar com outras sub-redes locais, basta criar regras de permissão (accept) para as sub-redes específicas antes da regra de negação de todo o restante. 
  

  @UBNT-Samuel
  
  Neste meu cenário os coletores estão na mesma rede que toda a empresa, não poderia bloquear toda a rede.
  Apenas um range de IPs.
  
  Exemplo: Drop - 192.168.20.90-100/24
  
• UI-Samuel 1212 Pontos

  fevereiro 2019 editado fevereiro 2019

  O ideal seria vocês terem isolado os coletores em uma sub-rede própria justamente para simplificar a aplicação de diferentes políticas de segurança, por exemplo nesse caso da escrita de regras de firewall. No entanto, também é possível fazer as regras com os coletores na mesma sub-rede das demais máquinas. 
  
  Existem várias opções para alcançar esse seu objetivo, então vou listar apenas 3:
  
  1) Escrever múltiplas regras de negação (drop) fazendo referência a cada um dos IPs dos hosts (/32) no campo source da regra, sempre apontando para 0.0.0.0/0 no campo destination;
  
  2) Na opção "Firewall/NAT Groups" criar um novo grupo denominado COLETORES com todos os endereços dos coletores. Feito isso, basta escrever a regra de negação (drop) na opção "Firewall Policies", só que dessa vez será possível selecionar o grupo COLETORES em vez de informar um IP específico;
  
  3) Utilizar um range de IPs para os coletores que coincida com um bloco CIDR /X. Por exemplo, se sua sub-rede é 192.168.20.0/24, você pode isolar o range 192.168.20.1 até 192.168.20.14 através do prefixo 192.168.20.0/28, já que a máscara /28 (255.255.255.240) compreende 16 endereços dos quais 14 são válidos. Você pode escolher qualquer range dentro dessa lógica, por exemplo 192.168.20.16/28 compreende os endereços que variam de 192.168.20.17 até 192.168.20.30, e assim sucessivamente... É uma questão de fazer as contas e ajustar o range de endereços dos seus coletores. 
  
  Enfim, são muitas as possibilidades...