Базовые настройки Ubiquiti EdgeOS: настройка NAT и Firewall

12.06.2013
Поделиться в:

Базовые настройки Ubiquiti EdgeOS: настройка NAT и Firewall


После того, как EdgeRouter (маршрутизатор), работающий под управлением сетевой операционной системы Ubiquiti EdgeOS, настройкой которого мы занимаемся, получил доступ в интернет и локальная сеть была настроена, нам необходимо обеспечить выход в глобальную сеть интернет, для всех локальных устройств, объединенных в LAN.

Поэтому в данной статье, мы рассмотрим настройку таких параметров как:
настройка NAT;
настройка Firewall;

Делается это для того, чтобы дать возможность нескольким компьютерам, иметь доступ к сети интернет под одним внешним IP адресом, выделяемым провайдером и оградить локальную сеть от возможных атак из вне.

Настройка NAT

И начнем мы с того, что настроем преобразование сетевых адресов или попросту NAT (Network Address Translation).
Настроить NAT можно через GUI, для этого необходимо перейти на вкладку Security и там выбрать раздел NAT. После чего, надать кнопку + Add Source NAT Rule. И в открывшемся окне, заполнить поля, следующим образом:
Description - примечание, например Local NAT
Enable - поставить галочку
Outbound Interface - выбрать интерфейс, к которому у нас подключен провайдер, у нас eth0
Translation - выбрать Use Masquerade
Protocol - выбрать All protocols
Остальные поля, не трогаем.

 

Сохраняем настройки, как всегда, кнопкой Save.

Эту же процедуру, можно провести и при помощи консоли, для этого нужно набрать следующий ряд команд:

ubnt@ubnt:~$ configure
[edit]
ubnt@ubnt# set service nat rule 5010 outbound-interface eth0
[edit]
ubnt@ubnt# set service nat rule 5010 type masquerade
[edit]
ubnt@ubnt# commit
[edit]
ubnt@ubnt# save
Saving configuration to '/config/config.boot'...
Done
[edit]
ubnt@ubnt# exit
exit
ubnt@ubnt:~$ configure
[edit]
ubnt@ubnt#


Настройка Firewall

Одним из основных рубежей безопасности вашей локальной сети, является Firewall, поэтому не стоит пренебрегать его настройкой. Ниже я приведу ряд основных правил для конфигурации межсетевого экрана для EdgeRouter (маршрутизатор), работающим под управлением сетевой операционной системы Ubiquiti EdgeOS

Настроить Firewall можно как из web-интерфейса, так и из командной строки. Но учитывая что правил много, гораздо проще сделать это через консоль. Для этого, нужно задать ряд команд, перечисленных ниже:
ubnt@ubnt:~$ configure
[edit]
ubnt@ubnt# set firewall all-ping enable
[edit]
ubnt@ubnt# set firewall broadcast-ping disable
[edit]
ubnt@ubnt# set firewall conntrack-expect-table-size 4096
[edit]
ubnt@ubnt# set firewall conntrack-hash-size 4096
[edit]
ubnt@ubnt# set firewall conntrack-table-size 32768
[edit]
ubnt@ubnt# set firewall conntrack-tcp-loose enable
[edit]
ubnt@ubnt# set firewall ipv6-receive-redirects disable
[edit]
ubnt@ubnt# set firewall ipv6-src-route disable
[edit]
ubnt@ubnt# set firewall ip-src-route disable
[edit]
ubnt@ubnt# set firewall log-martians enable
[edit]
ubnt@ubnt# set firewall name LAN_IN default-action accept
[edit]
ubnt@ubnt# set firewall name LAN_LOCAL default-action accept
[edit]
ubnt@ubnt# set firewall name WAN_IN default-action drop
[edit]
ubnt@ubnt# set firewall name WAN_IN rule 1 action accept
[edit]
ubnt@ubnt# set firewall name WAN_IN rule 1 state established enable
[edit]
ubnt@ubnt# set firewall name WAN_IN rule 1 state related enable
[edit]
ubnt@ubnt# set firewall name WAN_IN rule 2 action drop
[edit]
ubnt@ubnt# set firewall name WAN_IN rule 2 log enable
[edit]
ubnt@ubnt# set firewall name WAN_IN rule 2 state invalid enable
[edit]
ubnt@ubnt# set firewall name WAN_LOCAL default-action drop
[edit]
ubnt@ubnt# set firewall name WAN_LOCAL rule 1 action accept
[edit]
ubnt@ubnt# set firewall name WAN_LOCAL rule 1 state established enable
[edit]
ubnt@ubnt# set firewall name WAN_LOCAL rule 1 state related enable
[edit]
ubnt@ubnt# set firewall name WAN_LOCAL rule 2 action drop
[edit]
ubnt@ubnt# set firewall name WAN_LOCAL rule 2 log enable
[edit]
ubnt@ubnt# set firewall name WAN_LOCAL rule 2 state invalid enable
[edit]
ubnt@ubnt# set firewall name WAN_LOCAL rule 5 action accept
[edit]
ubnt@ubnt# set firewall name WAN_LOCAL rule 5 limit burst 1
[edit]
ubnt@ubnt# set firewall name WAN_LOCAL rule 5 limit rate 50/minute
[edit]
ubnt@ubnt# set firewall name WAN_LOCAL rule 5 log enable
[edit]
ubnt@ubnt# set firewall name WAN_LOCAL rule 5 protocol icmp
[edit]
ubnt@ubnt# set firewall receive-redirects disable
[edit]
ubnt@ubnt# set firewall send-redirects enable
[edit]
ubnt@ubnt# set firewall source-validation disable
[edit]
ubnt@ubnt# set firewall syn-cookies enable
[edit]
ubnt@ubnt# set interfaces bridge br0 firewall in name LAN_IN
[edit]
ubnt@ubnt# set interfaces bridge br0 firewall local name LAN_LOCAL
[edit]
ubnt@ubnt# set interfaces ethernet eth0 firewall in name WAN_IN
[edit]
ubnt@ubnt# set interfaces ethernet eth0 firewall local name WAN_LOCAL
[edit]
ubnt@ubnt# commit
[edit]
ubnt@ubnt# save
Saving configuration to '/config/config.boot'...
Done
[edit]
ubnt@ubnt# exit
exit
ubnt@ubnt:~$


И если все сделано правильно, все созданные правила, вы сможете увидеть в GUI на вкладке Security в разделе Firewall Polices.


А выбрав свойства конкретного правила, вы можете посмотреть полную статистику или даже внести определенные изменения, не прибегая к командной строке.



В конце, хочу привести полный список команд, который необходимо набрать в командной CLI, для создания всех необходимых правил и политик Firewall.

configure
set firewall all-ping enable
set firewall broadcast-ping disable
set firewall conntrack-expect-table-size 4096
set firewall conntrack-hash-size 4096
set firewall conntrack-table-size 32768
set firewall conntrack-tcp-loose enable
set firewall ipv6-receive-redirects disable
set firewall ipv6-src-route disable
set firewall ip-src-route disable
set firewall log-martians enable
set firewall name LAN_IN default-action accept
set firewall name LAN_LOCAL default-action accept
set firewall name WAN_IN default-action drop
set firewall name WAN_IN rule 1 action accept
set firewall name WAN_IN rule 1 state established enable
set firewall name WAN_IN rule 1 state related enable
set firewall name WAN_IN rule 2 action drop
set firewall name WAN_IN rule 2 log enable
set firewall name WAN_IN rule 2 state invalid enable
set firewall name WAN_LOCAL default-action drop
set firewall name WAN_LOCAL rule 1 action accept
set firewall name WAN_LOCAL rule 1 state established enable
set firewall name WAN_LOCAL rule 1 state related enable
set firewall name WAN_LOCAL rule 2 action drop
set firewall name WAN_LOCAL rule 2 log enable
set firewall name WAN_LOCAL rule 2 state invalid enable
set firewall name WAN_LOCAL rule 5 action accept
set firewall name WAN_LOCAL rule 5 limit burst 1
set firewall name WAN_LOCAL rule 5 limit rate 50/minute
set firewall name WAN_LOCAL rule 5 log enable
set firewall name WAN_LOCAL rule 5 protocol icmp
set firewall receive-redirects disable
set firewall send-redirects enable
set firewall source-validation disable
set firewall syn-cookies enable
set interfaces bridge br0 firewall in name LAN_IN
set interfaces bridge br0 firewall local name LAN_LOCAL
set interfaces ethernet eth0 firewall in name WAN_IN
set interfaces ethernet eth0 firewall local name WAN_LOCAL
commit
save
exit

На этом, основные базовые настройки EdgeRouter (маршрутизатор) и сетевой операционной системы Ubiquiti EdgeOS в целом, можно считать оконченными. Единственное, что нам осталось, это сохранить имеющуюся у нас конфигурацию, на случай сбоев или других непредвиденных ситуаций. О том как сделать резервное копирование и восстановление, чиатйте в этой статье.

 

logo
Базовые настройки Ubiquiti EdgeOS: настройка NAT и Firewall
Отзывы покупателей
Рейтинг покупателей
4.5 / 5 4.5 5 25
На основе 25 оценок покупателей
4%
4%
0%
0%
0%
Отзыв
Отлично
Заголовок*
Достоинства
Недостатки
Комментарий*
Представьтесь
Комментарий
Дмитрий, На самом устройстве - да, в сети - нет."
Комментарий
Алексей, без firewall инет должен быть?"
Комментарий
Дмитрий, К сожалению нет..."
Комментарий
Алексей, копипаст вообще никак не получается.У вас готовая конфигурация есть для заливки?Можете поделиться на ваших условиях?"
Комментарий
Алексей, Пишет такую штуку: The specified configuration node is not valid"
Комментарий
Дмитрий , что именно не понимает? Что пишет в ошибке?"
Комментарий
Дмитрий, можно и кописаст, но лучше от руки и все тщательно проверять."
Комментарий
Алексей, Что-то я на этом уже споткнулся:set firewall conntrack-expect-table-size 4096Не принимает и все, в чем может быть проблема?"
Комментарий
Алексей, НАТ подключен на 0, мост между 1 и 2 сделан. Эти фриволы только от руки писать? Не получается скопировать и вставить.Так весь день за этим занятием провести можно."
Комментарий
Дмитрий, Ну так, в этом то и дело... Нужен либо прямой мост, либо NAT!"
Комментарий
Алексей, А что нужно знать?могу ответить. А так, все сделал, как из ваших статей, под копирку, только без фривола. Но он, по идее, конечно, может по проводу не давать, но по вай фай же должно, смартфоны ведь выходят в мир."
Комментарий
Дмитрий, сказать что-то однозначно, без детального изучения всей конфигурации, просто не реально."
Комментарий
Приветствую! Подскажите, пожалуйста, в чем дело:роутер EdgeLite, к нему подключены две точки AP PRO - через планшет интернет дает нормально, а с ноута, что по вай фай, что по проводу - нет. Пинг на ya.ru не идет, НО сам комп пишет, что доступ в инет есть. Думал в браузере дело, но перепробовал несколько - без результата.
Комментарий
Сергей, Так посмотрите, что в качестве Gateway, указано на устройствах. Так же, посмотрите, как настроен фаервол и маршруты, для этой подсети..."
Комментарий
Алексей, нет, edgerouter et0 (wan) получил адрес автоматом от асус (192.168.10.10). На eth4 создан dchp (10.10.10.0). Почему 10.10.10.100 (ноутбук) не видит устройство 192.168.10.100 (synology). Но в адресной строке, находясь в сегменте 10.10.10.0 когда набираешь адрес 192.168.10.ХХХ можно зайти на устройство ( synology, asus, samsung tv)."

Возврат к списку


Популярное оборудование

Авторизуйтесь, чтобы добавить отзыв

x