UBNT-BR
UBNT-BR
Mar 26, 2019 · 10 min read

UniFi Security Gateway (USG): Como Funcionam as Regras de Firewall no UniFi Controller?

O UniFi Security Gateway (USG) é uma alternativa às caras soluções de firewall que existem no mercado decorrente do alto custo de licenciamento de software. O USG é gerenciado de maneira centralizada através da interface do UniFi Controller, um software gratuito, assim como ocorre com todos os demais dispositivos UniFi na infraestrutura de rede.

Image for post
Image for post

Configuração de Firewall no USG

O USG é um roteador/firewall Plug& Play com o intuito de simplificar sua configuração, por isso já possui regras de firewall pré-configuradas para proteger a rede. Por padrão o equipamento vem configurado com uma política que nega todo e qualquer acesso entrante na(s) interface(s) WAN, ou seja, impede todo tráfego originado na Internet, seja para fins de acesso remoto ao próprio USG ou mesmo para passagem de tráfego destinado à rede local (LAN). A única exceção a essa regra é o retorno de tráfego daquelas sessões de comunicação previamente estabelecidas (iniciadas) pelos usuários na(s) rede(s) local(is) conectada(s) na(s) porta(s) LAN.

Image for post
Image for post
Image for post
Image for post

Tráfego WAN

  • O fluxo WAN-IN representa todo tráfego entrante na WAN e sainte na LAN, aquilo que seria equivalente ao fluxo FORWARD no tradicional firewall iptables do Linux, ou seja, toda comunicação externa vinda da WAN e destinada internamente à LAN;
  • O fluxo WAN-LOCAL representa todo tráfego entrante na WAN que é destinado para o próprio USG, por exemplo uma tentativa de acesso externo ao firewall via SSH, aquilo que seria equivalente ao fluxo INPUT no iptables do Linux;
  • Não existe nenhuma regra de firewall no fluxo WAN-OUT que se refere ao tráfego do USG sainte para a WAN, ou seja, toda saída de tráfego originado pelo próprio USG, aquilo que seria equivalente ao fluxo OUTPUT no firewall iptables.

Tráfego LAN

  • O fluxo LAN-IN representa todo tráfego entrante em uma interface LAN e sainte em outra interface, aquilo que seria equivalente ao fluxo FORWARD no tradicional firewall iptables do Linux, ou seja, toda comunicação interna entre duas sub-redes locais ou mesmo originada por uma sub-rede local e destinada à Internet;
  • O fluxo LAN-LOCAL representa todo tráfego entrante em uma interface LAN que é destinado à própria interface do USG que é gateway dessa sub-rede, por exemplo uma tentativa de acesso interno ao firewall via SSH, aquilo que seria equivalente ao fluxo INPUT no iptables do Linux;
  • Não existe nenhuma regra de firewall no fluxo LAN-OUT que se refere ao tráfego do USG sainte para a LAN, ou seja, aquilo que seria equivalente ao fluxo OUTPUT no firewall iptables.

Tráfego Guest

  • O fluxo GUEST-IN representa todo tráfego entrante um uma interface LAN-GUEST (visitantes) e sainte em outra interface LAN, aquilo que seria equivalente ao fluxo FORWARD no tradicional firewall iptables do Linux, ou seja, toda comunicação interna entre uma sub-rede de visitantes com qualquer outra sub-rede local. Por padrão será negado todo tráfego entre sub-redes guest com sub-redes corporativas, exceto a comunicação com a controladora para o Guest Portal;
  • O fluxo GUEST-LOCAL representa todo tráfego entrante em uma interface LAN-GUEST (visitantes) que é destinado à própria interface do USG que é gateway dessa sub-rede de visitantes, por exemplo uma tentativa de acesso interno ao firewall via SSH que é bloqueada nesse caso, aquilo que seria equivalente ao fluxo INPUT no iptables. Por padrão será permitida apenas a entrada de tráfego DNS e comunicação com o gateway para viabilizar a navegação dos visitantes;
  • Não existe nenhuma regra de firewall no fluxo GUEST-OUT que se refere ao tráfego do USG sainte para a LAN-GUEST (visitantes), ou seja, aquilo que seria equivalente ao fluxo OUTPUT do firewall iptables.

Exemplos de Configuração

Uma vez compreendidos os diferentes fluxos do UniFi em que as regras de firewall podem ser aplicadas, fica mais fácil trazer um exemplo prático de configuração. Agora sabemos que por padrão o USG permite todo tráfego originado na rede local para qualquer destino externo, então vamos utilizar como referência a topologia abaixo para alterar o firewall do USG.

Image for post
Image for post

Exemplo 1: Firewall "Caixa Preta"

Já foi dito que por padrão o USG vai permitir toda conexão que seja iniciada pela LAN, qualquer que seja o destino, uma modalidade de firewall denominada "caixa branca" em que tudo é permitido, exceto aquilo que foi explicitamente negado. Outra modalidade considerada muito mais segura, embora bem mais complexa, é denominada "caixa preta" em que tudo é negado, exceto aquilo que foi explicitamente permitido.

Name: NEGA TUDO DA ORIGEM LAN1
Enabled:
ON
Rule Applied:
Before Pre-Defined Rules
Action:
Drop
Protocol:
All
Logging:
<escolher a opção desejada>
States:
Não Selecionar Nenhum (Todos)
Don't Match on IP Packets
Source Type:
Network
Network:
LAN1 (192.168.1.0/24)
Destination Type:
Network
Network:
Any
  • DNS (porta 53/UDP)
  • HTTP (porta 80/TCP)
  • HTTPS (porta 443/TCP)
Name: ACEITA PING NA LAN1
Enabled:
ON
Rule Applied:
Before Pre-Defined Rules
Action:
Accept
Protocol:
ICMP
Logging:
<escolher a opção desejada>
States:
Não Selecionar Nenhum (Todos)
Don't Match on IP Packets
Source Type:
Network
Network:
LAN1 (192.168.1.0/24)
Destination Type:
Network
Network:
Any
Name: ACEITA DNS NA LAN1
Enabled:
ON
Rule Applied:
Before Pre-Defined Rules
Action:
Accept
Protocol:
UDP
Logging:
<escolher a opção desejada>
States:
Não Selecionar Nenhum (Todos)
Don't Match on IP Packets
Source Type:
Network
Network:
LAN1 (192.168.1.0/24)
Destination Type:
Address/Port Group
Address:
Any
Port Group: 53
Name: ACEITA HTTP NA LAN1
Enabled:
ON
Rule Applied:
Before Pre-Defined Rules
Action:
Accept
Protocol:
TCP
Logging:
<escolher a opção desejada>
States:
Não Selecionar Nenhum (Todos)
Don't Match on IP Packets
Source Type:
Network
Network:
LAN1 (192.168.1.0/24)
Destination Type:
Address/Port Group
Address:
Any
Port Group: 80
Name: ACEITA HTTPS NA LAN1
Enabled:
ON
Rule Applied:
Before Pre-Defined Rules
Action:
Accept
Protocol:
TCP
Logging:
<escolher a opção desejada>
States:
Não Selecionar Nenhum (Todos)
Don't Match on IP Packets
Source Type:
Network
Network:
LAN1 (192.168.1.0/24)
Destination Type:
Address/Port Group
Address:
Any
Port Group: 443
Image for post
Image for post

Exemplo 2: Negar Acesso dos Coletores

Nesse segundo exemplo vamos do partir do princípio que o primeiro exemplo não foi aplicado em nossa rede, ou seja, estão valendo as regras padrões do USG. Dessa vez queremos que a LAN2-COLETORES não possa acessar a Internet nem a LAN1, mas que a LAN1 possa gerenciar os coletores.

Name: NEGA TUDO DA LAN2-COLETORES
Enabled:
ON
Rule Applied:
Before Pre-Defined Rules
Action:
Drop
Protocol:
All
Logging:
<escolher a opção desejada>
States:
Não Selecionar Nenhum (Todos)
Don't Match on IP Packets
Source Type:
Network
Network:
COLETORES (192.168.3.0/24)
Destination Type:
Network
Network:
Any
Name: ACEITA RESPOSTA DA LAN2-COLETORES
Enabled:
ON
Rule Applied:
Before Pre-Defined Rules
Action:
Accept
Protocol:
All
Logging:
<escolher a opção desejada>
States:
Established, Related
Don't Match on IP Packets
Source Type:
Network
Network:
LAN2-COLETORES (192.168.3.0/24)
Destination Type:
Network
Network:
LAN1 (192.168.1.0/24)


Grupo UniFi no Facebook 
facebook.com/groups/ubnt.unifi.br
Fórum Oficial da Ubiquiti
forum-pt.ubnt.com
Grupo UniFi no LinkedIN
linkedin.com/groups/12135007
Grupo UniFi no Telegram
t.me/ubiquitibr

Image for post
Image for post

Blog UBNT BR

O blog oficial da Ubiquiti no Brasil é focado na solução…

UBNT-BR

Written by

UBNT-BR

samuel.brito@ui.com

Blog UBNT BR

O blog oficial da Ubiquiti no Brasil é focado na solução UniFi e aborda desde fundamentos de redes e Wi-Fi até o portfólio de produtos, além de compartilhar cases brasileiros de sucesso.

UBNT-BR

Written by

UBNT-BR

samuel.brito@ui.com

Blog UBNT BR

O blog oficial da Ubiquiti no Brasil é focado na solução UniFi e aborda desde fundamentos de redes e Wi-Fi até o portfólio de produtos, além de compartilhar cases brasileiros de sucesso.

Welcome to a place where words matter. On Medium, smart voices and original ideas take center stage - with no ads in sight. Watch
Follow all the topics you care about, and we’ll deliver the best stories for you to your homepage and inbox. Explore
Get unlimited access to the best stories on Medium — and support writers while you’re at it. Just $5/month. Upgrade

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store