UniFi: Cómo deshabilitar el enrutamiento VLAN

Este artículo revisa tres escenarios diferentes para bloquear el enrutamiento de LAN a VLAN2, así como algunas otras técnicas para ajustar la comunicación entre VLAN.

NOTAS Y REQUISITOS: Se aplica a nuestros modelos USG y UDM con versiones de firmware estables actuales. Recomendamos actualizar siempre a la versión más reciente.

El enrutamiento entre VLAN está habilitado de forma predeterminada entre todas las redes LAN corporativas. En este artículo, se demostrará el bloqueo de LAN a VLAN2, así como algunas otras técnicas para ajustar su comunicación entre VLAN en redes corporativas. Este artículo se escribió con un USG, pero se puede realizar la misma configuración para los modelos UDM.

1. Para deshabilitar el enrutamiento entre VLAN entre LAN y VLAN2, diríjase a la aplicación UniFi Network y vaya a Configuración > Enrutamiento y cortafuegos > Cortafuegos > Reglas > LAN IN1

2. Cree una nueva regla que descarta o rechaza2 con la configuración que se muestra a continuación.

Name: to your liking.
Enabled: ON
Rule Applied: before Predefined Rules
Action: Drop or Reject2
Protocol: All
Logging: to your liking
States: all unchecked (assumes all states)
Don't match on IPsec packets
Source Type: Network
Network: LAN - NETv43
Destination Type: Network
Network: VLAN2 - NETv4

NOTA:

1.LAN IN es donde desea filtrar todo su tráfico LAN/VLAN, ya que IN es el primer punto de entrada al firewall, sin importar la interfaz. El conjunto de reglas OUT solo se utilizará en casos especiales raros.

2. «Drop» eliminará por completo el tráfico, lo que generará un mensaje de «solicitud agotada» en el cliente; «Rechazar» devolverá un paquete de conexión rechazada al cliente.

3. NETv4 incluye toda la red, ADDRv4 solo incluye la dirección de interfaz del USG para esa red (por ejemplo, 192.168.1.1-192.168.1.254 frente a 192.168.1.1)

Opción 2: bloquear todas las VLAN entre sí

1. Primero cree un grupo de firewall que contenga el rango de direcciones privadas RFC1918 10.0.0.0/8, 172.16.0.0/12 y 192.168.0.0/16. esto se hace en Configuración > Enrutamiento y cortafuegos > Cortafuegos > Grupos > Crear nuevo grupo y luego haga clic Guardar. Vea la captura de pantalla a continuación:

2. Todavía dentro de Configuración de Firewall, muévase de la Grupos pestaña a la Reglas IPv4 pestaña, seleccione ENTRADA LAN1 y haga clic Crear nueva reglarellenando los siguientes datos de configuración:

CREATE NEW RULE
Name: to your liking
Enabled: ON
Rule Applied: Before redefined rules
Action: Drop or Reject2
IPv4 Protocol: all

ADVANCED
Logging: to your liking
States: all unchecked
IPsec: Don't match on IPsec packets

SOURCE
Source Type: Address/Port Group 
IPv4 Address group: RFC1918 (the name of the group created in step 1)
Port Group: Any
MAC Address: Leave blank

DESTINATION
Destination Type: Address/Port Group
IPv4 Address Group: RFC1918
Port Group: Any

El uso de la regla anterior bloqueará todas las comunicaciones de red privada entre las VLAN; sin embargo, se permitirá el tráfico de la misma subred/VLAN como se esperaba porque nunca se enviará a la puerta de enlace predeterminada (USG). Los datos atravesarán la red de capa 2 y los conmutadores intermedios los transmitirán a través de tramas.

Si su objetivo es bloquear LAN a VLAN2, pero permitir VLAN2 a LAN, primero siga la Opción 1, luego continúe con la creación de una regla en la parte superior (primera regla) de LAN_IN como la siguiente captura de pantalla. Agregar esta regla en la parte superior del conjunto de reglas permitirá que todo el tráfico de firewall con estado establecido y relacionado pueda pasar, que es básicamente todo el tráfico de «respuesta».

Name: to your liking
Enabled: ON
Rule Applied: before Predefined Rules
Action: Accept
Protocol: Any
Logging: to your liking
States: Established and Related
Don't match on IPsec packets
Source Type: leave blank 
Destination Type: leave blank

Deja un comentario

Tu dirección de correo electrónico no será publicada.

Ir arriba