Bienvenido a la Comunidad UBNT

Bloquear Tráfico Salida LAN

Estimados Todos,
Tengo una WISP con 47 clientes y un EdgeRouter X-SFP como router central, el Rocket y los NanoStation están en bridge.
Resulta que uno o varios de mis clientes están infectados con un malware y me han puesto en listas negras la IP Pública con la que trabajo.
La consulta es ¿Como hago para bloquear todo el tráfico que envía la LAN a la WAN y solo dejar pasar el HTTP y HTTPS?
Esto devido que no tengo idea por cual puerto sale el tráfico malo.
Tambien he visto muchos ejemplos de como bloquear de WAN a LAN pero ningúno de LAN a WAN, he hecho varios intentos y no veo solución, necesito ayuda de ustedes.

Saludes

Comentarios

  • pttptt 6218 Puntos
    solo dejar pasar el HTTP y HTTPS?
    Esto devido que no tengo idea por cual puerto sale el tráfico malo.


    Y si el "malware" utiliza los puertos 80 y/o 443 ?

    Revisa los artículos de la Base de Conocimientos: https://help.ubnt.com/hc/en-us/categories/200321064-EdgeMAX

    Muestra lo que hiciste (capturas de pantalla)

    Muestra la configuración de tu ER (show configuration | nomore)




  • Observen Haber que tengo mal:

    firewall {                                                                     
        all-ping enable                                                            
        broadcast-ping disable                                                     
        ipv6-receive-redirects disable                                             
        ipv6-src-route disable                                                     
        ip-src-route disable                                                       
        log-martians enable                                                        
        name LAN_OUT {                                                             
            default-action drop                                                    
            description "Bloqueo de Trafico de Salida"                             
            rule 10 {                                                              
                action accept                                                      
                description 443                                                    
                destination {                                                      
                    address 190.4.56.17                                            
                }                                                                  
                log disable                                                        
                protocol tcp                                                       
                source {                                                           
                    address 192.168.11.0/24                                        
                }                                                                  
                state {                                                            
                    established enable                                             
                    invalid enable
                    new enable
                    related enable
                }
            }
            rule 20 {
                action accept
                description 80
                destination {
                    address 190.4.56.7
                }
                log disable
                protocol tcp
                source {
                    address 192.168.11.0/24
                }
                state {
                    established enable
                    invalid enable
                    new enable
                    related enable
                }
            }
            rule 30 {
                action accept
                description 22
                destination {
                    address 190.4.56.17
                }
                log disable
                protocol tcp
                source {
                    address 192.168.11.0/24
                }
                state {
                    established enable
                    invalid enable
                    new enable
                    related enable
                }
            }
            rule 40 {
                action drop
                description "Bloqueo de Trafico de Salida"
                destination {
                    address 190.4.56.17
                }
                log disable
                protocol tcp_udp
                source {
                    address 192.168.11.0/24
                }
                state {
                    established enable
                    invalid enable
                    new enable
                    related enable
                }
            }
        }
        name WAN_IN {
            default-action drop
            description "WAN to internal"
            rule 10 {
                action accept
                description "Allow established/related"
                state {
                    established enable
                    related enable
                }
            }
            rule 20 {
                action drop
                description "Drop invalid state"
                state {
                    invalid enable
                }
            }
        }
        name WAN_LOCAL {
            default-action drop
            description "WAN to router"
            rule 10 {
                action accept
                description "Allow established/related"
                state {
                    established enable
                    related enable
                }
            }
            rule 20 {
                action drop
                description "Drop invalid state"
                state {
                    invalid enable
                }
            }
            rule 30 {
                action accept
                description ike
                destination {
                    port 500
                }
                log disable
                protocol udp
            }
            rule 40 {
                action accept
                description esp
                log disable
                protocol esp
            }
            rule 50 {
                action accept
                description nat-t
                destination {
                    port 4500
                }
                log disable
                protocol udp
            }
            rule 60 {
                action accept
                description l2tp
                destination {
                    port 1701
                }
                ipsec {
                    match-ipsec
                }
                log disable
                protocol udp
            }
        }
        receive-redirects disable
        send-redirects enable
        source-validation disable
        syn-cookies enable
    }
    interfaces {
        ethernet eth0 {
            address

  • airfairf 67 Puntos
    Una opción es el modo router de los CPE.. así aislas su tráfico.
  • pttptt 6218 Puntos

    Tu IP pública != Internet

    Si quieres Bloquear Tráfico en el sentido "LAN --> WAN" (tráfico que sale a internet), lo haces en "LAN IN"




  • Estimado,
    Entendería entonces que el Firewall quedaría así:



    Siendo el Eth1 mi LAN


  • pttptt 6218 Puntos

    190.4.56.17 es ???
  • Es Eth0=WAN
  • pttptt 6218 Puntos


    Tu IP Pública != Internet



    Revisa/Lee, con detenimiento, este Hilo: https://community.ubnt.com/t5/EdgeRouter/Layman-s-firewall-explanation/m-p/1436103

    Por mi parte hasta aquí llego......

    Suerte !
  • Gracias,
    Me has sido de mucha ayuda. El hilo recomendado está muy bueno.

Accede o Regístrate para comentar.