Olá,
Tenho um EdgeRouterX v1.10.8, e preciso fazer uma regra para bloquear o acesso a internet a um range especifico de IP na minha rede.
Estamos implementando coletores que possui opção de navegar na internet e baixar aplicativos, e gostaria de evitar que esse equipamentos pudessem acessar a internet.
Fiz algumas tentativas de regras, porém todas sem sucesso.
Comentários
https://help.ubnt.com/hc/en-us/articles/204962154-EdgeRouter-How-to-Create-a-WAN-Firewall-Rule
Para impedir que os coletores tenham acesso externo basta criar uma regra de negação (drop) para o endereço de destino 0.0.0.0/0 (any) na interface que é gateway dessa sub-rede, dessa forma nenhuma passagem de tráfego originada pela rede local dos coletores será permitida. Caso os coletores tenham que comunicar com outras sub-redes locais, basta criar regras de permissão (accept) para as sub-redes específicas antes da regra de negação de todo o restante.
Neste meu cenário os coletores estão na mesma rede que toda a empresa, não poderia bloquear toda a rede.
Apenas um range de IPs.
Exemplo: Drop - 192.168.20.90-100/24
Existem várias opções para alcançar esse seu objetivo, então vou listar apenas 3:
1) Escrever múltiplas regras de negação (drop) fazendo referência a cada um dos IPs dos hosts (/32) no campo source da regra, sempre apontando para 0.0.0.0/0 no campo destination;
2) Na opção "Firewall/NAT Groups" criar um novo grupo denominado COLETORES com todos os endereços dos coletores. Feito isso, basta escrever a regra de negação (drop) na opção "Firewall Policies", só que dessa vez será possível selecionar o grupo COLETORES em vez de informar um IP específico;
3) Utilizar um range de IPs para os coletores que coincida com um bloco CIDR /X. Por exemplo, se sua sub-rede é 192.168.20.0/24, você pode isolar o range 192.168.20.1 até 192.168.20.14 através do prefixo 192.168.20.0/28, já que a máscara /28 (255.255.255.240) compreende 16 endereços dos quais 14 são válidos. Você pode escolher qualquer range dentro dessa lógica, por exemplo 192.168.20.16/28 compreende os endereços que variam de 192.168.20.17 até 192.168.20.30, e assim sucessivamente... É uma questão de fazer as contas e ajustar o range de endereços dos seus coletores.
Enfim, são muitas as possibilidades...