Я кратко остановлюсь на конфигурации VLAN. Для справки я использую интеллектуальный коммутатор TP-Link - диапазон Easy Smart Switch немного отличается, но это должно быть более или менее выполнимо таким же образом. См. Главы 6.3 и 6.4 в руководстве.
- Вы хотите настроить сети VLAN 802.1Q, а не более базовые «на основе портов».
- Введите идентификатор VLAN, который вы хотите настроить (например, 1)
- Выберите помеченные порты. Это означает, что через порты, через которые будет передаваться фреймы, принадлежащие этой VLAN, будет тег VLAN. Используйте это для портов, ведущих к другим VLAN-совместимым устройствам, таким как ваш маршрутизатор или другие управляемые коммутаторы.
- Выберите непомеченные порты. Кадры, принадлежащие VLAN, также будут отправляться на эти порты, но метка VLAN удаляется при выходе. Используйте это для портов, ведущих к хостам (включая ваши компьютеры, серверы и камеры).
- Настройте свои PVID так, чтобы входящие кадры на непомеченных портах получали тег по умолчанию.
В вашем случае VLAN 1 будет помечен на порту маршрутизатора и не помечен на любом порту, к которому подключаются ваши компьютеры (с PVID 1 на тех же портах). VLAN 2 будет помечен на порту маршрутизатора и не помечен на порте сервера (с PVID 2 на этом порту). VLAN 3 будет помечен на порту маршрутизатора и не помечен на портах камеры (с PVID 3 на этих портах).
Вам также необходимо настроить EdgeOS:
- Добавьте интерфейсы VLAN, предоставив каждому из них собственный IP-адрес и подсеть (для простоты я буду считать
192.168.1.1/24
, 192.168.2.1/24
и 192.168.3.1/24
. Это означает, что маршрутизатор использует адрес 192.168.3.1
в подсети 192.168.3.0/24
на своем интерфейсе VLAN 3.)
- Добавьте DHCP-серверы, обслуживающие каждую VLAN, предоставив им свою собственную подсеть.
- Сконфигурируйте серверы DHCP, чтобы установить шлюз ("маршрутизатор") для устройства EdgeOS. Это должно соответствовать IP-адресам, которые вы указали в # 1.
- Добавьте VLAN в качестве интерфейсов прослушивания DNS, если вы хотите, чтобы они имели доступ к кеширующему DNS-серверу маршрутизатора.
Теперь по умолчанию EdgeOS будет маршрутизировать пакеты между всеми своими интерфейсами. Вы хотите заблокировать это в определенных сценариях, что можно сделать с помощью брандмауэра EdgeOS.
Первое, что вам нужно сделать, это добавить набор правил, блокирующий VLAN (2 и 3?) от доступа к интерфейсу управления маршрутизатора. Это должно выглядеть примерно так:
- Действие по умолчанию: Drop
- Отредактируйте набор правил и установите его для применения к интерфейсам => добавьте свои интерфейсы VLAN в направлении
local
. Убедитесь, что VLAN, с которой вы хотите управлять маршрутизатором, все еще имеет доступ!
- Добавьте правило для принятия TCP и UDP на порт 53, чтобы разрешить DNS
- Добавить правило для принятия TCP и UDP в
Established
и Related
состояниях (дополнительная вкладка)
Создайте новый набор правил для одностороннего 1 => 3, по умолчанию Accept
. Обязательно отредактируйте его и примените только к интерфейсам VLAN 1 и 3. Теперь вам нужно добавить свои правила в порядок. Я бы предложил:
- Добавить правило
Accept
от Source
до 192.168.1.0/24
Destination
192.168.3.0/24
Это позволяет 1 => 3 инициировать соединения.
- Добавить правило
Accept
от Source
до 192.168.3.0/24
Destination
192.168.1.0/24
в состоянии Established
или по Related
Это позволяет 3 => 1 ответов (сеть является двунаправленной!) для TCP и UDP.
- Добавьте правило для
Drop
из Source
192.168.3.0/24
в Destination
192.168.1.0/24
. Это запасной вариант, который отклоняет все, что не разрешено правилом № 2, означающее, что 3 => 1 не может инициировать новые подключения.
- Вы также можете добавить правила брандмауэра, блокирующие доступ VLAN 3 к Интернету.
Здесь есть небольшая дискуссия: https://community.ubnt.com/t5/EdgeRouter/One-way-firewall-rules/td-p/1505691
Если вы ничего не сделаете, чтобы заблокировать это, 1 <=> 2 и 2 <=> 3 должны были сработать с самого начала. Имейте в виду, что это дает злоумышленнику возможность обойти брандмауэр маршрутизатора, выполнив 3 => 2 => 1, если что-то уязвимо на 2.
Также имейте в виду, что этот пример настройки фактически разрешен по умолчанию с явным блоком от 3 => 1, но 3 все еще может получить доступ к любым будущим VLAN, которые вы настроили. Более безопасная (но немного более сложная) конфигурация состоит в том, чтобы блокировать по умолчанию (блок 192.168.0.0/16
как последнее правило в наборе правил) и явно разрешать 1 <=> 2, 2 <=> 3 и 1 => 3. Он следует тем же общим принципам; вам просто нужно добавить правила, явно разрешающие 2 и блокирующие остальные.