Firewall básico para Ubiquiti EdgeRouter

Basic firewall rules for Ubiquiti's EdgeOS / EdgeRouter or Vyatta / VyOS

Fiz um script bastante simples apenas com regrinhas bem básicas para o bom funcionamento de um EdgeRouter atuando como gateway em uma rede.

Estou compartilhando mais pelo fato de que, estas regras, podem servidor como base para ambientes mais complexos e regras mais elaboradas.

O script pode ser encontrado nete link do Github.

Sobre o Script

Basicamente o script é composto dos seguintes elementos:

Grupo de endereços rfc-1918

Como o próprio título diz, é criado um grupo de endereços com os ranges definidos na RFC-1918.

Grupo de portas permitidas

Também é criado um grupo de portas permitidas allowed-ports que é aplicado nas regras de tráfego da internet com destino ao EdgeRouter.

Regras para tráfego da internet para a LAN

O grupo de regras chamado de WAN_IN define políticas para o tráfego que chega pela internet e tem destino a rede interna, ou seja, o EdgeRouter faz apenas um forward destes pacotes.

Esta regra deve, obrigatoriamente, ser aplicada em:

set interfaces ethernet ethX firewall in name WAN_IN

No script são criadas apenas as regras 10 e 20, assim, se necessaŕio é possível criar outras N regras para permitir ou bloquear determinado tráfego conforme necessário.

  • A regra 10 libera o tráfego para conexões estabelecidas / relacionadas; enquanto a regra 20 bloqueia pacotes inválidos.

Regras para tráfego da internet para o EdgeRouter

Este grupo de regras foi chamado de WAN_LOCAL no script e será responsável por filtrar o tráfego que vem da internet com destino ao edgeRouter.

Esta regra deve, obrigatoriamente, ser aplicada em:

set interfaces ethernet ethX firewall local name WAN_LOCAL
  • Na regra 10 temos a mesma definição do grupo de regras WAN_IN, e é liberado todo tráfego estabelecido / reacionado.

  • A regra 20 bloqueia pacotes inválidos.

  • A regra 30 permite o tráfego das portas definidas no grupo allowerd-ports.

Basicamente é isto. Como um firewall é algo muito particular para cada empresa ou do administrador, optei por publicar o básico e deixar o leque de possibilidades aberto para as personalizações de cada um.

Fico a disposição para quem precisar de qualquer ajuda para criar outras regras e/ou configurações no seu EdgeRouter.

 
comments powered by Disqus