Настройка Firewall Rules в UniFi
Руководство по настройке правил файрвола в UniFi — контроль трафика, сегментация сети и защита от угроз
Firewall Rules в UniFi позволяют контролировать сетевой трафик на уровне L3/L4. Правила применяются на UniFi Console (UDM, UCG) и обеспечивают безопасность сети, контроль доступа и сегментацию.
Типы правил
UniFi различает правила по направлению трафика:
| Тип | Направление | Применение |
|---|---|---|
| LAN In | Из LAN сети | Контроль трафика от клиентов в локальных сетях |
| LAN Out | В LAN сеть | Фильтрация трафика, приходящего в локальные сети |
| LAN Local | К шлюзу | Защита самого UniFi Console |
| Internet In | Из интернета | Входящий трафик из WAN (порт-форвардинг) |
| Internet Out | В интернет | Исходящий трафик в WAN (редко используется) |
| Internet Local | К WAN интерфейсу | Защита WAN-интерфейса шлюза |
Наиболее используемые типы
Для большинства задач достаточно правил LAN In (контроль исходящего из VLAN трафика) и Internet In (проброс портов). LAN Out и LAN Local используются реже.
Для большинства задач достаточно правил LAN In (контроль исходящего из VLAN трафика) и Internet In (проброс портов). LAN Out и LAN Local используются реже.
Действия правил
- Accept: Разрешить трафик
- Drop: Отбросить трафик без уведомления
- Reject: Отклонить трафик с отправкой ICMP unreachable
Создание правила
Шаг 1: Откройте настройки Firewall
Перейдите в Settings → Firewall & Security → Firewall Rules.
Шаг 2: Создайте новое правило
Нажмите Create New Rule и заполните параметры:
| Параметр | Описание |
|---|---|
| Type | Тип правила (LAN In, Internet In и т.д.) |
| Description | Понятное описание правила |
| Enabled | Включено/выключено |
| Rule Applied | Before/After predefined rules |
| Action | Accept, Drop, Reject |
| IPv4 Protocol | All, TCP, UDP, ICMP, TCP and UDP |
Шаг 3: Настройте Source и Destination
Для Source и Destination можно использовать:
- Any: Любой адрес
- Network: Конкретная сеть (VLAN)
- IP Address: Один IP-адрес
- IP Subnet: Подсеть в CIDR формате
- Port/IP Group: Предустановленная группа
Port/IP Groups
Группы упрощают управление правилами. Создайте их перед созданием правил.
Создание IP Group
- Перейдите в Settings → Profiles → IP Groups
- Нажмите Create New Group
- Введите имя (например, "Management Servers")
- Добавьте IP-адреса или подсети
- Сохраните группу
Предустановленные группы
| Группа | Содержимое | Использование |
|---|---|---|
| RFC1918 | 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 | Все приватные сети |
| Gateway IPs | IP-адреса всех шлюзов | Защита доступа к роутеру |
Создание Port Group
- Перейдите в Settings → Profiles → Port Groups
- Нажмите Create New Group
- Введите имя (например, "Web Ports")
- Добавьте порты (80, 443 и т.д.)
- Сохраните группу
Типовые правила
Изоляция IoT от корпоративной сети
| Type | LAN In |
| Description | Block IoT to Corporate |
| Action | Drop |
| Source | Network: IoT |
| Destination | Network: Corporate |
Блокировка Guest доступа к LAN
| Type | LAN In |
| Description | Block Guest to all LAN |
| Action | Drop |
| Source | Network: Guest |
| Destination | Port/IP Group: RFC1918 |
Разрешить Guest доступ к DNS шлюза
| Type | LAN Local |
| Description | Allow Guest DNS to Gateway |
| Action | Accept |
| Protocol | TCP and UDP |
| Source | Network: Guest |
| Destination Port | 53 |
Блокировка камер от интернета
| Type | LAN In |
| Description | Block Cameras to Internet |
| Action | Drop |
| Source | Network: Cameras |
| Destination | Any (except RFC1918) |
Порядок правил важен
Правила применяются сверху вниз. Первое совпавшее правило выполняется. Размещайте более специфичные правила выше общих.
Правила применяются сверху вниз. Первое совпавшее правило выполняется. Размещайте более специфичные правила выше общих.
Established/Related трафик
По умолчанию UniFi разрешает ответный трафик для установленных соединений. Это значит:
- Если клиент из Corporate инициировал соединение к серверу, ответы пройдут
- Но новые соединения от сервера к клиенту могут быть заблокированы
Это поведение контролируется системными правилами и обычно не требует изменений.
Traffic Rules (упрощённый режим)
UniFi предлагает упрощённый интерфейс для типовых сценариев:
- Перейдите в Settings → Traffic Management → Traffic Rules
- Нажмите Create New Rule
- Выберите тип: Block, Allow, или App-based
- Выберите источник и назначение
- Сохраните правило
Traffic Rules автоматически создают соответствующие Firewall Rules.
Port Forwarding
Проброс портов из интернета на внутренние серверы:
- Перейдите в Settings → Firewall & Security → Port Forwarding
- Нажмите Create New Port Forward
- Заполните параметры:
| Параметр | Пример |
|---|---|
| Name | Web Server HTTPS |
| From | Any (или конкретный IP) |
| Port | 443 |
| Forward IP | 192.168.20.10 |
| Forward Port | 443 |
| Protocol | TCP |
Автоматические Firewall Rules
Port Forwarding автоматически создаёт необходимые правила Internet In. Отдельно создавать Firewall Rules для проброса не нужно.
Port Forwarding автоматически создаёт необходимые правила Internet In. Отдельно создавать Firewall Rules для проброса не нужно.
Логирование
Для отладки включите логирование правил:
- Отредактируйте правило
- Включите Logging
- Сохраните изменения
- Просматривайте логи в System Log
Влияние на производительность
Логирование создаёт нагрузку на систему. Включайте его временно для отладки и отключайте после решения проблемы.
Логирование создаёт нагрузку на систему. Включайте его временно для отладки и отключайте после решения проблемы.
Рекомендации
- Документируйте правила: Используйте понятные Description
- Тестируйте изменения: Проверяйте связность после добавления правил
- Используйте группы: IP и Port Groups упрощают управление
- Начинайте с Traffic Rules: Для простых случаев они удобнее
- Минимизируйте правила: Меньше правил — проще поддержка
- Регулярно проверяйте: Удаляйте неиспользуемые правила
