Zdravím Vás a prosím o radu.
Internet od providera na 192.168.1.1 a routuje
Ip s DHCP 1.100 1.200
Přijem od providera je pichlý do switche.
Do switche připojene nove zařizení Nanostatoin M5 jako acceess point - bridge
Na něj je připojeno Nanostatoin M5 jako station - bridge a lan pichla do switch.
Potřebují, aby všem, co jsou pichli do toho switche nejel internet, tedy zakazan 80 port.
Poradite?
Předem děkují
Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
Nanostatoin M5 firewall
Předpokládám, že se jedná o nějaký "tupý" switch. Tam to nastavit nepůjde.
Bude potřeba to nastavit na routeru (aby dotazy z ethx na port 80/443 byly blokovány). Ideálně tam udělat nový subnet (např. 192.168.2.0/24) a nastavit pravidla na daný subnet.
Záleží na důvodech a použitém HW, podle toho se dá vybrat vhodně řešení - nebylo napsáno nic, takže konkrétní rady nelze napsat.
Bude potřeba to nastavit na routeru (aby dotazy z ethx na port 80/443 byly blokovány). Ideálně tam udělat nový subnet (např. 192.168.2.0/24) a nastavit pravidla na daný subnet.
Záleží na důvodech a použitém HW, podle toho se dá vybrat vhodně řešení - nebylo napsáno nic, takže konkrétní rady nelze napsat.
0 x
Jsem je kupovali v i4wifi.
Než jsm je koupil, tak jsem jim psal.
Michal Vyhnalík produktový manažer Ubiquiti
Tvrdíl mi, že i když jsou nanoše v bridge, funguje firewall a to co potřebují, se da nastavít přimo v ních
Než jsm je koupil, tak jsem jim psal.
Michal Vyhnalík produktový manažer Ubiquiti
Tvrdíl mi, že i když jsou nanoše v bridge, funguje firewall a to co potřebují, se da nastavít přimo v ních
0 x
Tak proč píšeš sem a ne Vyhnalíkovi, který ti tu tvojí hovadinu odkýval?
Tímto netvrdím, že to nejde ale je to prostě celé blbě vymyšlené. Internet se nevypíná blokací 80/443 někde na bezdrátovém spoji, část sítě s blokovaným internetem by měla být ideálně oddělena např. do VLANy příp. pokud je zajištěno že si uživatelé nebudou sami měnit IP adresy (nemají práva, ARP inspection na switchi apod.) tak se pravidla nastaví na routeru/firewallu na jednotlivé IP.
Tímto netvrdím, že to nejde ale je to prostě celé blbě vymyšlené. Internet se nevypíná blokací 80/443 někde na bezdrátovém spoji, část sítě s blokovaným internetem by měla být ideálně oddělena např. do VLANy příp. pokud je zajištěno že si uživatelé nebudou sami měnit IP adresy (nemají práva, ARP inspection na switchi apod.) tak se pravidla nastaví na routeru/firewallu na jednotlivé IP.
0 x
Le_Ze píše:Jsem je kupovali v i4wifi.
Než jsm je koupil, tak jsem jim psal.
Michal Vyhnalík produktový manažer Ubiquiti
Tvrdíl mi, že i když jsou nanoše v bridge, funguje firewall a to co potřebují, se da nastavít přimo v ních
Obchoďáci odkývají cokoliv, jen aby zákazník nakoupil (bývalý šéf se divil, když jsem mu řekl jak moc mu 17Ghz Alcomy jedou mimo limity - montováno přímo Alcomou, myslel si, že je vše "košér")
Když si to vymyslel, tak ať ti pošle konkrétní návod. Ale stačí použít jiný port/VPN a uživatel je hned na internetu. Stále nevíme účel sítě a jejího omezení, takže se stále nedá poradit konkrétně.
1 x
Poslal mi v e-mailu i odkaz na ubiquiti forum, kde to probirali a psali tam že to funguje.
Už ho 2 dny hledam.
A v obou nanošicch - network - Configuration Mode jde zapnout advanced mod i když jsou jako bridge.
Už ho 2 dny hledam.
A v obou nanošicch - network - Configuration Mode jde zapnout advanced mod i když jsou jako bridge.
0 x
Firewall v AirOS je sice dost zjednodušený a otravně konfigurovatelný, ale funguje jak v router módu, tak v bridge.
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
Proč si to prostě nevyzkoušíš? Vždyť víš, co chceš ... víš interface, víš protokol, víš porty. A slůvko DROP a ACCEPT si přelož.
Jediné, co je matoucí je, že tam není napsaný co znamená interface. Znamená to input-interface.
A nutno myslet na to, že firewall je shodný pro INPUT i FORWARD. Čili je potřeba zkontrolovat, na kterém portu běží samotné GUI toho UBNT (a rovnou zapnout https) a pro jistotu přehodit jinam, aby jsi to nezablokoval. Nevím, jestli to je v AirOS ošetřený.
Jediné, co je matoucí je, že tam není napsaný co znamená interface. Znamená to input-interface.
A nutno myslet na to, že firewall je shodný pro INPUT i FORWARD. Čili je potřeba zkontrolovat, na kterém portu běží samotné GUI toho UBNT (a rovnou zapnout https) a pro jistotu přehodit jinam, aby jsi to nezablokoval. Nevím, jestli to je v AirOS ošetřený.
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
Jsem snad vyzkoušel všechno a internet furt jede.
http://img24.cz/images/57263204932356463809.png
http://img24.cz/images/57263204932356463809.png
0 x
Gratuluju prave si zablokoval traffic mezi source subnet 192.168.1.0/24 source port 80 a destination subnet 192.168.1.0/24 destination port 80
0 x
Filiph1 píše:Tak treba destination by mel byt any ne?
Už nejede
Ješte jeden dotaz.
Jde nastavít rozsah blokovaných portu, třeba 80-443?
Jsem hledal a všude nastavují jen jeden.
https://community.ubnt.com/t5/airOS-Sof ... d-p/476397
0 x
-
Ivan Bruna
- Příspěvky: 108
- Registrován: 11 years ago