EdgeMAX - adicionar a lista de controle de acesso (ACL)

Visão geral


Os leitores aprenderão como criar regras ACL (Access Control List) para o firewall ajudar a proteger a rede. ACL regras ajudam a proteger a rede limitando ou impedindo o acesso aos usuários.

Nota: EdgeOS o firewall regra terminologia inclui IN, fora e o LOCAL.

  • Aplicação de um conjunto de regras de firewall para firewall IN de um tráfico de influência de interface de entrada em que a interface, mas somente o tráfego encaminhado através do roteador.
  • É o tráfego que tem sido encaminhada através do roteador e prestes a deixar a saída para a interface.
  • LOCAL é tráfego destinado ao roteador (por exemplo se você quisesse usar o web UI no roteador você precisa permitir que a porta 443 no LOCAL.

Em termos de usar regras de IN ou OUT, alguns dirão que IN é melhor, porque se você vai deixar cair um pacote é melhor para fazê-lo na entrada, em vez de percorrer o caminho de processamento de pacote completo apenas para soltá-lo antes que ele folhas o roteador. Observe também que criar um conjunto de regras de firewall sem aplicá-la a uma interface/direção faz nada .

Passos


Para criar uma regra de firewall, use o conjunto ou editar comandos (ambos os métodos são descritos abaixo). Além disso, usar o comparar , descartar , por , topo , cópia , e renomear comandos.

Crie uma regra de firewall usando a sintaxe completa:

ubnt@ubnt:~$ configure
[edit]
ubnt@ubnt# set firewall name TEST default-action drop
[edit]
ubnt@ubnt# set firewall name TEST enable-default-log
[edit]
ubnt@ubnt# set firewall name TEST rule 10 description “allow icmp”
[edit]
ubnt@ubnt# set firewall name TEST rule 10 action accept
[edit]
ubnt@ubnt# set firewall name TEST rule 10 protocol icmp
[edit]

 Para exibir as alterações não confirmadas, use o comparar comando:

ubnt@ubnt# compare
[edit firewall]
+name TEST {
+	default-action drop
+	enable-default-log
+	rule 10 {
+		action accept
+		description “allow icmp”
+		protocol icmp
+	}
+}
[edit]

Para desfazer as alterações não confirmadas, usar o descartar comando:

ubnt@ubnt# discard
Changes have been discarded
[edit]
ubnt@ubnt# compare
No changes between working and active configurations
[edit]

Para criar a regra de firewall mesmo reduzindo a quantidade de repetição na sintaxe completa, use o editar comando:

ubnt@ubnt# edit firewall name TEST
[edit firewall name TEST]
ubnt@ubnt#set default-action drop
[edit firewall name TEST]
ubnt@ubnt# set enable-default-log
[edit firewall name TEST]
ubnt@ubnt#edit rule 10
[edit firewall name TEST rule 10]

 Pressione o ? ou Guia chave para exibir opções para editar o especificado nível.

ubnt@ubnt# set
action		disable	ipsec	p2p	source	   time
description	fragment	limit	protocol   state	
destination	icmp	log	recent	tcp	
[edit firewall name TEST rule 10]
ubnt@ubnt# set description “allow icmp”
[edit firewall name TEST rule 10]
ubnt@ubnt# set action accept
[edit firewall name TEST rule 10]
ubnt@ubnt# set protocol icmp
[edit firewall name TEST rule 10]

 Para mostrar as alterações dentro do nível de editar, use o comparar comando:

ubnt@ubnt# compare
[edit firewall name TEST rule 10]
+action accept
+description “allow icmp”
+ protocol icmp
[edit firewall name TEST rule 10]

Para subir um nível de editar, use o por comando:

ubnt@ubnt#up
[edit firewall name TEST]
ubnt@ubnt# compare
[edit firewall name TEST]
+default-action drop
+enable-default-log
+rule 10 {
+	action accept
+	description “allow icmp”
+	protocol icmp
+}
[edit firewall name TEST]
ubnt@ubnt# up
[edit firewall]
ubnt@ubnt# compare
[edit firewall]
+name TEST {
+	default-action drop
+	enable-default-log
+	rule 10 {
+		action accept
+		description “allow icmp”
+		protocol icmp
+	}
+}
[edit firewall]

Para retornar para o nível superior editar, use o topo comando: 

ubnt@ubnt# top
[edit]
ubnt@ubnt# compare
[edit firewall]
+name TEST{
+	default-action drop
+	enable-default-log
+	rule 10 {
+		action accept
+		description “allow icmp”
+		protocol icmp
+	}
+}
[edit]

Para exibir a regra de firewall existente, use o mostrar firewall comando: 

ubnt@ubnt# show firewall
 name WAN1_LOCAL {
  	default-action drop
  	rule 10 {
  		action accept
  		state {
  			established enable
  			related enable
  		}
  	}
  	rule 20 {
  		action drop
  		state {
  			invalid enable
  		}
  	}
  	rule 30 {
  		action accept
  		destination {
  			port 22
  		}
  		protocol tcp
  	}
 }
[edit]

Para criar uma nova regra de firewall de uma regra de firewall existente, use o cópia comando.

ubnt@ubnt# edit firewall
[edit firewall]
ubnt@ubnt# copy name WAN1_LOCAL to name WAN2_LOCAL
[edit firewall]
ubnt@ubnt# commit
[edit firewall]
ubnt@ubnt#top
[edit]
ubnt@ubnt#show firewall
 name WAN1_LOCAL {
        default-action drop
        rule 10 {
  		action accept
  		state {
  			established enable
  			related enable
               }
        }
        rule 20 {
  		action drop
  		state {
  			invalid enable
  		}
        }
        rule 30 {
  		action accept
  		destination {
  			port 22
  		}
  		protocol tcp
        }
 }
 name WAN2_LOCAL {
        default-action drop
        rule 10 {
               action accept
               state {
                       established enable
                       related enable
               }
        }
        rule 20 {
  		action drop
  		state {
  			invalid enable
  		}
        }
        rule 30 {
  		action accept
  		destination {
  			port 22
  		}
  		protocol tcp
        }
 }
[edit]

Para alterar o nome da nova regra de firewall, use o renomear comando.

ubnt@ubnt# edit firewall
[edit firewall]
ubnt@ubnt# rename name W[TAB]
WAN1_LOCAL	WAN2_LOCAL
[edit firewall]
ubnt@ubnt# rename name WAN2_LOCAL to name WAN2_IN
[edit firewall]
ubnt@ubnt# commit
[edit firewall]
ubnt@ubnt#top
[edit]
ubnt@ubnt# show firewall name
 name WAN1_LOCAL {
        default-action drop
        rule 10 {
  		action accept
  		state {
  			established enable
  			related enable
               }
        }
        rule 20 {
  		action drop
  		state {
                       invalid enable
               }
        }
        rule 30 {
               action accept
  		destination {
  			port 22
  		}
  		protocol tcp
        }
 }
 name WAN2_IN {
        default-action drop
        rule 10 {
  		action accept
  		state {
  			established enable
  			related enable
  		}
  	}
        rule 20 {
               action drop
               state {
                       invalid enable
               }
  	}
        rule 30 {
               action accept
               destination {
                       port 22
               }
               protocol tcp
  	}
 }
[edit]
ubnt@ubnt#

Ubiquiti Employee / Ubiquiti Employee