Inter-VLAN-routering is standaard ingeschakeld tussen alle Corporate LAN-netwerken. In dit artikel wordt het blokkeren van LAN naar VLAN2 gedemonstreerd, evenals enkele andere technieken om uw inter-VLAN-communicatie op bedrijfsnetwerken te verfijnen. Dit artikel is geschreven in de Legacy GUI met een USG, maar dezelfde configuratie kan worden gemaakt voor de UDM-modellen.
Optie 1: Inter-VLAN-routering tussen LAN en VLAN uitschakelen2
1. Om inter-VLAN-routering tussen LAN en VLAN2 uit te schakelen, gaat u naar de UniFi Network-toepassing en gaat u naar Instellingen > Routing & Firewall > Firewall > Regels > LAN IN.
2. Maak een nieuwe regel met Drops of Rejects met de onderstaande configuratie.
Naam : naar uw wens.
Ingeschakeld : AAN
Regel toegepast : vóór vooraf gedefinieerde regels
Actie : laten vallen of weigeren
Protocol : Alles
Loggen : naar wens
Staten : alle uitgeschakeld (gaat uit van alle toestanden)
Komt niet overeen op IPsec-pakketten
Brontype : netwerk
Netwerk : LAN - NETv4 3
Bestemmingstype : netwerk
Netwerk : VLAN2 - NETv4
OPMERKING:
1.LAN IN is waar u al uw LAN/VLAN-verkeer wilt filteren, aangezien IN het eerste toegangspunt tot de firewall is, ongeacht de interface. De OUT-regelset wordt alleen in zeldzame speciale gevallen gebruikt.
2. "Drop" zal het verkeer volledig laten vallen, wat resulteert in een "request timed out"-bericht op de client; "Weigeren" stuurt een pakket geweigerd verbinding terug naar de client.
3. NETv4 omvat het hele netwerk, ADDRv4 bevat alleen het interface-adres van de USG voor dat netwerk (ex 192.168.1.1-192.168.1.254 vs 192.168.1.1)
2. Ga nog steeds in Firewall-instellingen van het Groepen tabblad Regels IPv4 , selecteer LAN IN en klik op Nieuwe regel maken , waarbij u de volgende configuratiegegevens invult:
NIEUWE REGEL MAKEN
Naam : naar uw wens
Ingeschakeld : AAN
Regel toegepast : vóór opnieuw gedefinieerde regels
Actie : laten vallen of weigeren
IPv4-protocol : alles
GEAVANCEERD
Loggen : naar wens
Staten : allemaal uitgeschakeld
IPsec: komen niet overeen op IPsec-pakketten
BRON
Brontype : Adres/Poortgroep
IPv4- adresgroep: RFC1918 (de naam van de groep gemaakt in stap 1)
Poortgroep: Willekeurig
MAC-adres: leeg laten
BESTEMMING
Bestemmingstype: Adres/Poortgroep
IPv4-adresgroep: RFC1918
Poortgroep: Willekeurig
Het gebruik van de bovenstaande regel blokkeert alle privénetwerkcommunicatie tussen VLAN's, maar hetzelfde-subnet/VLAN-verkeer wordt toegestaan zoals verwacht omdat het nooit naar de standaardgateway (USG) wordt verzonden. De gegevens zullen het laag 2-netwerk doorkruisen en via frames worden verzonden door de tussenliggende schakelaars.
Naam : naar uw wens
Ingeschakeld : AAN
Regel toegepast : vóór vooraf gedefinieerde regels
Actie : Accepteren
Protocol : Elke
Loggen : naar wens
Staten : gevestigd en gerelateerd
Komt niet overeen op IPsec-pakketten
Brontype : leeg laten
Bestemmingstype : leeg laten
OPMERKING:
Houd er bij het toevoegen van nieuwe regels rekening mee dat deze niet direct effect hebben op bestaande stateful-verbindingen. om dit op te lossen een van de volgende opties uit
Optie 1: Inter-VLAN-routering tussen LAN en VLAN uitschakelen2
1. Om inter-VLAN-routering tussen LAN en VLAN2 uit te schakelen, gaat u naar de UniFi Network-toepassing en gaat u naar Instellingen > Routing & Firewall > Firewall > Regels > LAN IN.
2. Maak een nieuwe regel met Drops of Rejects met de onderstaande configuratie.
Naam : naar uw wens.
Ingeschakeld : AAN
Regel toegepast : vóór vooraf gedefinieerde regels
Actie : laten vallen of weigeren
Protocol : Alles
Loggen : naar wens
Staten : alle uitgeschakeld (gaat uit van alle toestanden)
Komt niet overeen op IPsec-pakketten
Brontype : netwerk
Netwerk : LAN - NETv4 3
Bestemmingstype : netwerk
Netwerk : VLAN2 - NETv4
OPMERKING:
1.LAN IN is waar u al uw LAN/VLAN-verkeer wilt filteren, aangezien IN het eerste toegangspunt tot de firewall is, ongeacht de interface. De OUT-regelset wordt alleen in zeldzame speciale gevallen gebruikt.
2. "Drop" zal het verkeer volledig laten vallen, wat resulteert in een "request timed out"-bericht op de client; "Weigeren" stuurt een pakket geweigerd verbinding terug naar de client.
3. NETv4 omvat het hele netwerk, ADDRv4 bevat alleen het interface-adres van de USG voor dat netwerk (ex 192.168.1.1-192.168.1.254 vs 192.168.1.1)
Optie 2: blokkeer alle VLAN's met elkaar
1. Maak eerst een firewallgroep met het RFC1918-privéadresbereik 10.0.0.0/8, 172.16.0.0/12 en 192.168.0.0/16. Dit doe je in Instellingen > Routing & Firewall > Firewall > Groepen > Nieuwe groep maken en klik vervolgens op Opslaan . Zie de schermafbeelding hieronder:
2. Ga nog steeds in Firewall-instellingen van het Groepen tabblad Regels IPv4 , selecteer LAN IN en klik op Nieuwe regel maken , waarbij u de volgende configuratiegegevens invult:
NIEUWE REGEL MAKEN
Naam : naar uw wens
Ingeschakeld : AAN
Regel toegepast : vóór opnieuw gedefinieerde regels
Actie : laten vallen of weigeren
IPv4-protocol : alles
GEAVANCEERD
Loggen : naar wens
Staten : allemaal uitgeschakeld
IPsec: komen niet overeen op IPsec-pakketten
BRON
Brontype : Adres/Poortgroep
IPv4- adresgroep: RFC1918 (de naam van de groep gemaakt in stap 1)
Poortgroep: Willekeurig
MAC-adres: leeg laten
BESTEMMING
Bestemmingstype: Adres/Poortgroep
IPv4-adresgroep: RFC1918
Poortgroep: Willekeurig
Het gebruik van de bovenstaande regel blokkeert alle privénetwerkcommunicatie tussen VLAN's, maar hetzelfde-subnet/VLAN-verkeer wordt toegestaan zoals verwacht omdat het nooit naar de standaardgateway (USG) wordt verzonden. De gegevens zullen het laag 2-netwerk doorkruisen en via frames worden verzonden door de tussenliggende schakelaars.
Optie 3: blokkeer LAN naar VLAN2, maar laat VLAN2 naar LAN toe
Als het de bedoeling is om LAN naar VLAN2 te blokkeren, maar VLAN2 naar LAN toe te staan, volg optie 1 en ga dan verder met het maken van een regel bovenaan (eerste regel) van LAN_IN zoals de onderstaande schermafbeelding. Door deze regel bovenaan de regelset toe te voegen, kan al het bestaande en gerelateerde stateful firewall-verkeer worden doorgelaten, wat in feite al het "reply"-verkeer is.Naam : naar uw wens
Ingeschakeld : AAN
Regel toegepast : vóór vooraf gedefinieerde regels
Actie : Accepteren
Protocol : Elke
Loggen : naar wens
Staten : gevestigd en gerelateerd
Komt niet overeen op IPsec-pakketten
Brontype : leeg laten
Bestemmingstype : leeg laten
OPMERKING:
Houd er bij het toevoegen van nieuwe regels rekening mee dat deze niet direct effect hebben op bestaande stateful-verbindingen. om dit op te lossen een van de volgende opties uit
- Wacht tot de statussen wegvallen (sluit alle verbindingen en wacht op de time-out van de status die ongeveer 30 seconden is)
- SSH naar de USG en typ clear connection-tracking.Hiermee wordt de hele staatstabel van de USG . gewist
- Start de USG opnieuw op
