Blog

Configuración de dispositivos de red y función de suspensión – UCRM v2

Visión general


Este artículo proporcionará a los usuarios orientación sobre la configuración de las reglas de Firewall y NAT (traducción de direcciones de red) en sus dispositivos de red físicos. La función de suspensión está diseñada para bloquear a los clientes vencidos y redirigir todo su tráfico HTTP a la página de “jardín amurallado” de la suspensión. La regla DST NAT se usa para manejar la redirección que es similar a un ” ataque de hombre en el medio “. Tenga en cuenta que esta redirección es posible solo para conexiones http . Si un cliente suspendido usa https , se bloqueará su conexión o se mostrará una advertencia de un certificado no válido en algunos navegadores.

NOTAS Y REQUISITOS:Esta guía asume que el lector ya ha configurado la aplicación UCRM correctamente: siempre que se haya configurado la IP del dispositivo, sus credenciales, interfaces y la IP del servidor donde se opera la aplicación UCRM. Para obtener más detalles sobre cómo configurar los ajustes de UCRM, eche un vistazo a este artículo:  UCRM – Cómo configurar la red, los servicios del cliente y la suspensión.

Configuración de dispositivos de red


La UCRM se comunica con los dispositivos de la red para sincronizar la lista de direcciones IP suspendidas (bloqueadas) y configurar las reglas de Firewall y NAT. UCRM nunca modificará ni eliminará las reglas que ya se han creado en el dispositivo. Sin embargo, esto significa que los dispositivos pueden necesitar alguna configuración manual adicional. Esta guía ayudará a los administradores a configurar sus dispositivos de red en EdgeOS y Mikrotik RouterOS. Al final de esta guía, el enrutador debe configurarse con:

  • Lista de direcciones IP bloqueadas.
  • 1 Regla de NAT de destino, que reenviará a los usuarios bloqueados a la página de jardín amurallado.
  • 2 reglas de firewall para direcciones IP bloqueadas.
    • Regla que permite DNS.
    • La regla bloquea la solicitud de reenvío a todas las direcciones, excepto la IP del servidor UCRM

Ubiquiti EdgeOS


La UCRM manejará lo siguiente automáticamente:

Cortafuegos / Grupos de NAT: la UCRM crea un nuevo grupo de IP bloqueadas llamadas BLOCKED_USERS y las mantiene actualizadas cada vez que se suspende un servicio o se cancela o aplaza la suspensión.

El administrador de red debe configurar lo siguiente manualmente:

El administrador debe proporcionar 1 regla de NAT y 2 reglas de Firewall para cada interfaz de enrutador que sirva como puerta de enlace de Internet para los clientes. Para configurar esto, siga las instrucciones a continuación provistas en las secciones siguientes.

La sincronización con EdgeOS se realiza a través de SSH (puerto 22), que debe estar habilitado en el enrutador (predeterminado). Esto permitirá a la UCRM sincronizar la lista de IP BLOCKED_USERS.


Ubiquiti EdgeOS: Regla de NAT


Se debe crear una nueva regla de NAT de destino para cada interfaz de enrutador que sirva como puerta de enlace de Internet para los clientes de la red. Vaya a Firewall / Nat> NAT> Agregar regla de NAT de destino y configure estos atributos:

NOTA:  Si desea evitar la advertencia de un certificado SSL no válido en algunos navegadores cuando un cliente vencido intenta acceder al sitio HTTPS, especifique “Dest Port = 80”. Al hacerlo, se asegura de que solo el tráfico HTTP se reenvíe correctamente a la página de suspensión de UCRM.

En caso de que esté utilizando sus propias reglas de NAT, es posible que necesite reordenarlas con las nuevas reglas de UCRM que ha creado. Las reglas de la UCRM normalmente se deben mover a la parte superior para obtener la prioridad más alta.


Ubiquiti EdgeOS: Políticas de Firewall


Para cada interfaz de enrutador que sirva como puerta de enlace de Internet para sus clientes, debe proporcionar un nuevo conjunto de reglas de Firewall con la dirección “en”. Si ya está utilizando un “conjunto de reglas de dirección” para la interfaz dada, proceda a agregar nuevas reglas al conjunto de reglas existente.

NOTA:  No puede haber dos conjuntos de reglas utilizando la misma interfaz, pero se le permite agregar una regla a un conjunto de reglas existente.

Siga estos pasos para crear un nuevo conjunto de reglas:

1. Vaya a Firewall / NAT> Políticas de firewall> Agregar conjunto de reglas y establezca estos atributos:

2. Guarde el nuevo conjunto de reglas. Esto creará un nuevo elemento en la lista de conjunto de reglas.

3. Encuentre la línea del elemento en la lista y edite el conjunto de reglas haciendo clic en  Acciones> Interfaces  y configurando estos atributos:

Cómo agregar 2 nuevas reglas a un conjunto de reglas existente 

1. Para habilitar la función de suspensión, debe crear 2 nuevas reglas de firewall dentro de cada conjunto de reglas vinculado con una interfaz.

2. Busque la línea de conjunto de reglas en la lista y edite el conjunto de reglas haciendo clic en  Acciones> Editar conjunto de reglas .

3. Agregue la regla ucrm_allow_dns. Haga clic en  Agregar nueva regla y establezca estos atributos:

En la pestaña Básico :

En la pestaña Fuente :

En la pestaña Destino :

4. Agregue la regla ucrm_drop_suspended. Haga clic en  Agregar nueva regla y establezca estos atributos:

En la pestaña Básico :

En la pestaña Fuente :

En la pestaña Destino :

5. En caso de que esté utilizando sus propias reglas de Firewall dentro del conjunto de reglas dado, es posible que deba reordenarlas con las nuevas reglas de UCRM que ha creado. Las reglas de la UCRM normalmente se moverán a la parte superior para obtener la máxima prioridad.

Al final, el conjunto de reglas debería verse así: 


Ubiquiti EdgeOS: Lista de direcciones IP permitidas


Es posible que desee permitir conexiones de sus usuarios bloqueados a más direcciones IP. Por ejemplo, cuando desee permitir el acceso a UCRM incluso para usuarios bloqueados o cuando utilice AirControl junto con UCRM, la comunicación entre los dispositivos CPE bloqueados y el servidor donde se ubica AirControl debería estar habilitada. Esto se puede incorporar utilizando un grupo de direcciones IP permitidas y use este grupo de direcciones en una nueva regla de Firewall y una nueva regla DST NAT. Esta es la guía paso a paso:

Lista blanca en la regla de firewall

1. Ir a Firewall / Nat | Cortafuegos / Grupos Nat | Añadir grupo

2. Cree un grupo denominado UCRM_WHITELIST y agregue las IP de UCRM y AirControl u otras IP a las que desee que se pueda acceder desde todos los CPE, incluso cuando están suspendidos.

3. Ir a Firewall / Nat | Políticas de firewall y agregue una nueva regla, puede nombrarla ucrm_allow_access_to_whitelist

4. Establecer estos atributos de la nueva regla.

  • En la pestaña conjunto básico Aceptar como acción
  • En el origen de la pestaña , BLOCKED_USERS es el grupo de direcciones
  • En la pestaña de destino, establezca UCRM_WHITELIST como el grupo de direcciones

5. Finalmente, cuando se crea la regla, el paso más importante que se debe hacer es cambiar el orden de las reglas. Esta regla de aceptación debe colocarse antes de la regla de bloqueo. Ver el aspecto final del conjunto de reglas:

image00.png

Este es el conjunto de reglas de suspensión que incorpora la lista blanca de IP accesible permitida.

Lista blanca en la regla DST NAT

Ahora, el tráfico de los usuarios bloqueados que se dirige a las IPs de la lista blanca no se bloqueará. Sin embargo, aún será redirigido a la página de suspensión porque las reglas NAT de DST tienen mayor prioridad que las reglas de Firewall. Por este motivo, debe crear una nueva regla NAT DST que no redirija el tráfico:

1. La forma más sencilla de permitir una única IP de DST es proporcionarla como excepción a la regla actual de NAT de DST. No te olvides de proporcionar el IP con el signo de exclamación. Vea el ejemplo a continuación:

Screen_Shot_2017-10-04_at_12.40.16_PM.png

2. Si necesita permitir más de una IP, necesita crear una nueva regla como esta:

Screen_Shot_2017-10-04_at_12.40.29_PM.png

3. Luego, mueva esta regla hacia arriba para aumentar la prioridad de modo que esta regla se aplique primero antes de la regla general de “ucrm forward suspendido”, haciendo lo siguiente:

Screen_Shot_2017-10-04_at_12.42.25_PM.png

Mikrotik RouterOS


La sincronización con RouterOS se realiza a través de la API de Mikrotik, que debe habilitarse en el enrutador (predeterminado). Esto permitirá a la UCRM sincronizar la lista de IP BLOCKED_USERS y configurar las reglas de NAT y las reglas de filtro.

En caso de que esté utilizando sus propias reglas de NAT o Filtro, tal vez necesite reordenarlas con esas nuevas UCRM. Todas las reglas creadas por UCRM pueden ser identificadas por el  prefijo ucrm_ . Las reglas de la UCRM normalmente se deben mover a la parte superior para obtener la prioridad más alta.

Tenga en cuenta que cuando use el puente en su enrutador, debe configurar:

Utilizando Firewall IP

No permitir la ruta rápida 

A %d blogueros les gusta esto: