Configuración de Dispositivos de red y función de suspensión – UCRM

Este artículo explica cómo configurar sus dispositivos de red EdgeOS y RouterOS. El sistema UCRM se comunica con sus dispositivos de red para sincronizar la lista de direcciones IP suspendidas (bloqueadas) y para configurar las reglas de Firewall y NAT. La UCRM nunca modificó ni eliminó las reglas que ya se han creado en el dispositivo. Sin embargo, esto significa que sus dispositivos pueden tener alguna configuración manual adicional.

Notas y requisitos:   La regla NAT de DST se usa para manejar la redirección, se debe tener en cuenta que esta redirección solo es posible para conexiones http. Si es un cliente, utilice la dirección https, su conexión se bloqueará o se verá una advertencia de un certificado no válido en algunos navegadores.

Para iniciar la configuración de los dispositivos de red EdgeOS y RouterOS, se muestran unos requisitos previos:

Se asume que ya se ha configurado correctamente la aplicación UCRM, es decir, se proporcionó la IP del dispositivo, sus credenciales, interfaces y configuración de la IP del servidor donde se opera la aplicación UCRM.

Ubiquiti EdgeOS

El UCRM maneja automáticamente firewall / grupos NAT, crea un nuevo grupo de IP bloqueado llamado BLOQUEADO USUARIOS y lo mantiene actualizado cada vez que se suspende un servicio se cancela o pospone la suspensión.

El administrador debe proporcionar 1 regla NAT y 2 reglas de firewall para cada interfaz de enrutador que sirve como una puerta de enlace de Internet para los clientes. Para configurar esto, debe realizar la sincronización con EdgeOS, esto se realiza a través de SSH (puerto 22) que debe estar habilitado en el enrutador (predeterminado). Esto significa que una UCRM sincronizará la lista de IP BLOCKED_USERS.

Regla NAT

Se debe crear una regla NAT de destino por cada interfaz de enrutador que sirve como prueba de enlace de internet. Vaya a Firewall / Nat> NAT> Agregar regla de NAT de destino y establezca estos atributos:

En descripcion se anexa “ucrm_forward_suspended_eth1” o cualquier etiqueta que desee. Se recomienda usar el prefijo ucrm_ y el nombre de la interfaz como sufijo.

En la interfaz de entrada se elige la interfaz para el cual está creando la regla .

En la dirección de la traducción es donde se reenviará el tráfico para todos los usuarios bloqueados (la misma IP debe establecerse en la configuración de UCMR).

En el puerto de traducción, aquí se indica el número de puerto que se utilizará para la página suspendida, que normalmente es 81 a menos que se ha modificado correctamente en su contenedor UCRM, por ejemplo 8081.

En el protocolo se selecciona TCP.

En grupos de direcciones, seleccione BLOQUEADOS USUARIOS que es el nombre del grupo cortafuegos / nat utilizado por UCRM. Pero antes se tiene que hacer manualmente en Firewall / Nat | Cortafuegos / Grupos Nat | Añadir grupo.

Nota: Si usa sus propias reglas de NAT, es necesario ordenarlas con las nuevas reglas de UCRM que haya creado. Las reglas de la UCRM deben obtenerse hacia arriba para obtener la prioridad más alta.

Políticas de Firewall   

Se debe proporcionar un nuevo conjunto de reglas de firewall para cada interfaz de enrutador que sirve como puerta de enlace de Internet para sus clientes. En el caso de que esté utilizando “conjunto de reglas de dirección” para la interfaz dada, proceda a agregar nuevas reglas al conjunto de reglas existentes.

Nota: No puede haber dos conjuntos de reglas que usen la misma interfaz, pero está permitido agregar una regla a un conjunto de reglas existentes.

Cómo crear un nuevo conjunto de reglas.

1. Para crear un nuevo conjunto de reglas debemos dirigirnos Firewall / NAT> Políticas de Firewall> agregar conjunto de reglas :  

En el nombre se escribe “ucrm_blocked_users_eth1” para la interfaz eth1 o cualquier etiqueta que desee. Se recomienda usar el prefijo ucrm_y el nombre de la interfaz como sufijo.

En acción por defecto se escoge.

Se guardan el nuevo conjunto de reglas. Esto creará un nuevo elemento en la lista de reglas.

Se puede localizar el articulo en la lista y editar el conjunto de reglas haciendo clic en Acciones> Interfaces y estableciendo estos atributos:

En la interfaz, seleccione la para la cual está creando el conjunto de reglas.

En la dirección seleccionada en. 

Como agregar 2 nuevas reglas a un conjunto de reglas existentes.

Para habilitar la función de suspensión, necesita crear 2 nuevas reglas de firewall dentro de cada conjunto de reglas vinculadas con una interfaz.

Seleccione las reglas en la lista y edite el conjunto de reglas haciendo clic en Acciones> Editar conjunto de reglas.

Agregue la regla ucrm_allow_dns. Hacer clic en agregar nueva regla y configurar los atributos siguientes: 

En la pestaña básica:

En la descripción, seleccione ucrm_allow_dns o cualquier etiqueta, se recomienda usar el prefijo ucrm_. 

En acción se da clic en aceptar.

En protocolo seleccionar UDP.

En el apartado de fuente.

En grupo de direcciones seleccionar BLOCKED_USERS.

En la pestaña de destino.

El puerto es 53.

Agregar la regla ucrm_drop_suspended. Hacer clic en nueva regla y establecer los siguientes atributos: 

En básico:

En la descripción seleccionada, ucrm_drop_suspend o la etiqueta que desee, se recomienda usar el prefijo ucrm_.

En acción he seleccionado drop. En protocolo seleccionado todos los protocolos.

En la pestaña fuente: Direcciones de grupo seleccione BLOCKED_USERS.

En destino: 

En la opción de dirección, se obtiene un signo de admiración antes de la dirección IP, esto se bloquea todo el tráfico, excepto las conexiones a la aplicación UCRM.

Si tiene sus propias reglas de Firewall, es posible que necesite reordenarlas con las nuevas reglas de UCRM que se han creado. En general, las reglas de la UCRM se seleccionan en la cima para tener mayor prioridad.

Esto se vería así:

Lista blanca de IP permitidas.

Es posible que desee permitir conexiones de los usuarios bloqueados a más direcciones. Esto se puede realizar usando un grupo de direcciones IP permitidas (lista blanca) y usarlo con una nueva regla de firewall y nueva regla NAT. Esta configuración se realiza de la siguiente manera:

Lista blanca en la regla de firewall. 

1. Ir a Firewall / Nat | Cortafuegos / Grupos Nat – Añadir Grupo.

2. Crear un grupo llamado UCRM_WHITELIST y agregue IP address de UCRM y AirControl u otras direcciones IP para que pueda acceder a todos los CPE, incluso cuando esté suspendido.

3. Ir a Firewall / Nat | Políticas de firewall y agregue una nueva regla, puede asignarle un nombre ucrm_allow_access_to_whitelist.

4. Realice estos pasos de la nueva regla: 

           En básico, aceptar como Action

           En fuente establecer BLOCKED_USERS como grupo de direcciones

           En el destino se configura UCRM_WHITELIST como grupo de direcciones

5. Por último, cuando se crea la regla lo más importante es el orden de las reglas, la regla de aceptación debe colocarse antes de la regla de bloqueo. Esta configuración queda como sigue:

Esto representa el conjunto de reglas de suspensión que tiene la lista blanca permitidas de IP que están disponibles.

Lista blanca en la regla NAT de DST .

El tráfico bloqueado de los usuarios que se destinan a la IP de la lista blanca no se bloqueará. Sin embargo, se redirecciona a la página de suspensión porque las reglas NAT de DST tienen mayor prioridad que las reglas de Firewall. Por este motivo, debe crear una nueva regla NAT DST que no redirija el tráfico:

La manera más fácil de permitir una única IP de DST es proporcionar una excepción a la regla de NAT de DST actual. Sin olvidar el signo de exclamación antes de la IP. Como se ve en el siguiente ejemplo:

Si tiene que incluir más de una IP, debe crear una nueva regla como esta:

Se mueve esta regla hacia arriba para aumentar la prioridad, esta regla se aplica antes que la regla general “ucrm forward suspendido”:

Mikrotik RouterOS

La sincronización con enrutador se realiza a través de la API de Mikrotik, debe estar habilitado en el enrutador. Esto permite que una UCRM sincronice la lista de IP BLOCKED_USERS y configure las reglas de NAT y las reglas de filtro.

En el caso de que usted está usando sus propias reglas de NAT y reglas de filtro, tal vez sea necesario reordenarlas con esas nuevas reglas de UCRM. Todas las reglas de la UCRM se identifican con el prefijo ucrm_. Como se hace antes de las reglas en la UCRM deben mantenerse hacia arriba para tener la mayor prioridad.

Si usa bridge en su enrutador debe configurar lo siguiente:

Habilitar IP Firewall

No permitir el camino rápido