Este artículo revisa tres escenarios diferentes para bloquear el enrutamiento de LAN a VLAN2, así como algunas otras técnicas para ajustar la comunicación entre VLAN.
El enrutamiento entre VLAN está habilitado de forma predeterminada entre todas las redes LAN corporativas. En este artículo, se demostrará el bloqueo de LAN a VLAN2, así como algunas otras técnicas para ajustar su comunicación entre VLAN en redes corporativas. Este artículo se escribió con un USG, pero se puede realizar la misma configuración para los modelos UDM.
1. Para deshabilitar el enrutamiento entre VLAN entre LAN y VLAN2, diríjase a la aplicación UniFi Network y vaya a Configuración > Enrutamiento y cortafuegos > Cortafuegos > Reglas > LAN IN1
2. Cree una nueva regla que descarta o rechaza2 con la configuración que se muestra a continuación.
Name: to your liking. Enabled: ON Rule Applied: before Predefined Rules Action: Drop or Reject2 Protocol: All Logging: to your liking States: all unchecked (assumes all states) Don't match on IPsec packets Source Type: Network Network: LAN - NETv43 Destination Type: Network Network: VLAN2 - NETv4
NOTA:
1.LAN IN es donde desea filtrar todo su tráfico LAN/VLAN, ya que IN es el primer punto de entrada al firewall, sin importar la interfaz. El conjunto de reglas OUT solo se utilizará en casos especiales raros.
2. «Drop» eliminará por completo el tráfico, lo que generará un mensaje de «solicitud agotada» en el cliente; «Rechazar» devolverá un paquete de conexión rechazada al cliente.
3. NETv4 incluye toda la red, ADDRv4 solo incluye la dirección de interfaz del USG para esa red (por ejemplo, 192.168.1.1-192.168.1.254 frente a 192.168.1.1)
Opción 2: bloquear todas las VLAN entre sí
1. Primero cree un grupo de firewall que contenga el rango de direcciones privadas RFC1918 10.0.0.0/8, 172.16.0.0/12 y 192.168.0.0/16. esto se hace en Configuración > Enrutamiento y cortafuegos > Cortafuegos > Grupos > Crear nuevo grupo y luego haga clic Guardar. Vea la captura de pantalla a continuación:
2. Todavía dentro de Configuración de Firewall, muévase de la Grupos pestaña a la Reglas IPv4 pestaña, seleccione ENTRADA LAN1 y haga clic Crear nueva reglarellenando los siguientes datos de configuración:
CREATE NEW RULE Name: to your liking Enabled: ON Rule Applied: Before redefined rules Action: Drop or Reject2 IPv4 Protocol: all ADVANCED Logging: to your liking States: all unchecked IPsec: Don't match on IPsec packets SOURCE Source Type: Address/Port Group IPv4 Address group: RFC1918 (the name of the group created in step 1) Port Group: Any MAC Address: Leave blank DESTINATION Destination Type: Address/Port Group IPv4 Address Group: RFC1918 Port Group: Any
El uso de la regla anterior bloqueará todas las comunicaciones de red privada entre las VLAN; sin embargo, se permitirá el tráfico de la misma subred/VLAN como se esperaba porque nunca se enviará a la puerta de enlace predeterminada (USG). Los datos atravesarán la red de capa 2 y los conmutadores intermedios los transmitirán a través de tramas.
Si su objetivo es bloquear LAN a VLAN2, pero permitir VLAN2 a LAN, primero siga la Opción 1, luego continúe con la creación de una regla en la parte superior (primera regla) de LAN_IN como la siguiente captura de pantalla. Agregar esta regla en la parte superior del conjunto de reglas permitirá que todo el tráfico de firewall con estado establecido y relacionado pueda pasar, que es básicamente todo el tráfico de «respuesta».
Name: to your liking Enabled: ON Rule Applied: before Predefined Rules Action: Accept Protocol: Any Logging: to your liking States: Established and Related Don't match on IPsec packets Source Type: leave blank Destination Type: leave blank