Kdysi jsem si sepsal článek o základním nastavení UniFi VLAN + nastavení Firewallu. S příchodem UniFi Network verze 9.x a Zone-based Firewallu došlo k výrazným změnám v nastavení a je nutné sepsat návod nový. Předpokládá se, že chápete proč a jak rozdělit síť do VLAN a řešíme pouze nastavení nového zónového firewallu (pravidla komunikace mezi VLANy/Bránou/VPN/Internetem/atp.).
V příkladu se budu zabývat jednoduchou sítí, kterou máme rozdělenu na tyto VLANy:
LAN-trusted (síť pro důvěryhodná zařízení PC, notebooky, mobily, tiskárny NAS, atp.)
LAN-guest (oddělená síť pro hosty, izolace klientů, případné omezení rychlosti)
LAN-untrusted (nedůvěryhodná zařízení jako vysavače, teploměry, chytrá světla, atp.)
Po aktivaci nového Zone-Based Firewallu se vytvoří tyto výchozí zóny:
Internal - Pro provoz sítí s důvěryhodnými zařízeními
External - Pro příchozí provoz, kterému nelze důvěřovat nebo který vyžaduje přísnější kontrolu – například běžný internetový provoz na WAN nebo připojení k VPN službě od třetí strany
Gateway - Řídí provoz směřující k UniFi Gateway nebo od něj (například požadavky na DHCP, DNS nebo správu přes HTTPS/SSH)
VPN - Pro provoz od vzdálených uživatelů VPN (Identity One-Click VPN, WireGuard, L2TP, OpenVPN) nebo mezi lokalitami přes Site-to-Site VPN (Site Magic, IPsec, OpenVPN)
Hotspot - Pro WiFi sítě hostů, kde mají připojená zařízení omezený přístup a jsou izolována navzájem od sebe
DMZ - Pro zařízení, která vyžadují přístup z internetu, jako jsou webové nebo poštovní servery
Manuálně přidávám zónu (např Ostatní) - ve výchozím stavu má zóna zakázanou komunikaci s ostaními zónami krom External/Gateway.
Všechny VLANY jsou v základu umístěny do Internal a mohou mezi sebou komunikovat, což ale z důvodu bezpečnosti nechceme. Logicky je tedy stačí přehodit následovně:
Internal: LAN-trusted
Hotspot: LAN-guest
Ostatní: LAN-untrusted
V tabulce zón (screenshot je z výchozího stavu bez zóny Ostatní) vidíme pravidla Allow All/Block All firewallu mezi jednotlivými zónami a kliknutím na "View Policies" uvidíme případná detailní pravidla platící pro komunikaci mezi danými zónami. Logicky jsou tam řádky Source a sloupce Destination. Vše je perfektně přehledné.
V prvník kroku tedy máme všechny své důvěryhodné zařízení odděleny jak od sítě hostů, tak od IoT/smart nedůvěryhodných zařízení. Nicméně z hlavní sítě LAN-trusted je fajn mít možnost chytré zařízení v LAN-untrusted ovládat (někdy to lze přímo skrz cloud bez nutnosti jakkoliv nastavovat další pravidla). Proto si na spojnici Source Internal / Destination Ostatni nastavíme následující pravidlo:
Name: Povolit LAN-trusted 2 LAN-untrusted
Source zone: Internal
Network: LAN-trusted
Action: Allow (+Auto Allow Return trafic)
Destination zone: Ostatni
Network: LAN-untrusted
Toto pravidlo zajistí, že při navázání komunikace z LAN-trusted do LAN-untrusted bude vše funkční, zároveň ale naopak přistupovat nelze.
Klienti z VPN mohou pouze do Internal.
Síť je možné doladit dalšími pravidly - povolení pingu z WAN (na spojnici na External / Gateway), zakázání přístupu na UDM administraci z nědůvěryhodných sítí (využít Network Object profile pro sadu portů), atp.
V základu ale máte již síť zabezpečenou, jde jen o vyladění dle Vašeho požadavku.
O něco detailněji se tématu věnuje například Lawrence system na svém YT kanálu (v angličtině).