Llegamos al tercer y \u00faltimo post. En los dos anteriores dejamos la red funcionando e hicimos las primeras configuraciones. Ahora nos falta por terminar un poco la seguridad, sobre todo para evitar que podamos comunicarnos entre redes, bloquear el ping exterior, aunque sobre esto hay mucha discusi\u00f3n, pero siempre lo suelo hacer, y poco m\u00e1s. Insisto, como hice antes: no soy un experto en redes, no tengo ninguna certificaci\u00f3n. Lo que hago lo hago buscando porque necesito tener una configuraci\u00f3n precisa, pero ni es todo lo que hay que hacer ni lo que he hecho es parte de unas buenas pr\u00e1cticas.<\/p>\n
Dicho esto, si queremos bloquear la comunicaci\u00f3n entre redes, primero tendremos que crear grupos, como aqu\u00ed he hecho:<\/p>\n
![\"Unifi](\"https:\/\/diego.dehaller.ch\/blog\/wp-content\/uploads\/2020\/05\/2017-01-01_21_07_02-UniFi_eeks3u.jpg\" "\\"Unifi")
Recordad que cada grupo representa una de las redes que hemos creado, a excepci\u00f3n del grupo del controlador, en el que he puesto la IP de la llave controladora, no de la red de aministraci\u00f3n de Unifi. El motivo es simple: creo bloquear el tr\u00e1fico entre la red IoT y el controlador, pero no quiero bloquear el acceso a la puerta de enlace ni a la antena WiFi. En cierta medida dar\u00eda igual, puesto que la puerta de enlace tiene tantas IPs como redes tengo, pero por si acaso.<\/p>\n
Una vez que hemos creado los grupos, ya podemos poner las reglas. Aqu\u00ed he tenido que probar bastante, porque lo que en principio parec\u00eda f\u00e1cil, resulta que no lo ha sido tanto. El motivo es que Ubiquiti separa las reglas por tipo de tr\u00e1fico:<\/p>\n
- \n
- WAN In<\/li>\n
- WAN Out<\/li>\n
- WAN Local<\/li>\n
- LAN In<\/li>\n
- LAN Out<\/li>\n
- LAN Local<\/li>\n
- Y luego los guests, que ni vamos a tocar.<\/li>\n<\/ul>\n
Si os fij\u00e1is, en cada tipo, hay reglas predefinidas, que no puedo ni editar ni borrar. Por defecto, est\u00e1 todo abierto entre redes, y hasta el ping est\u00e1 autorizado. En cierta medida, es normal, puesto que la funci\u00f3n de un router es enrutar tr\u00e1fico. As\u00ed que si queremos restringir el tr\u00e1fico entre la red IoT y la red Casa, tendremos que poner la misma regla en WAN Local, LAN In, LAN Out y LAN Local. El motivo es que en cada tipo hay una regla por defecto que autoriza el tr\u00e1fico entre redes. Si no la hubiera, con ponerlo en un sitio (yo dir\u00eda LAN Local) deber\u00eda funcionar lo que queremos hacer.<\/p>\n
Total, que aqu\u00ed est\u00e1 la regla que hay que\u00a0poner:<\/p>\n
![\"Unifi](\"https:\/\/i2.wp.com\/diego.dehaller.ch\/blog\/wp-content\/uploads\/2020\/05\/2017-01-01_21_34_02-UniFi_zxked4.jpg?fit=500%2C297&ssl=1\" "\\"Unifi")
<\/p>\n![\"Unifi](\"https:\/\/diego.dehaller.ch\/blog\/wp-content\/uploads\/2020\/05\/2017-01-01_21_34_20-UniFi_qraszp.jpg\" "\\"Unifi")
<\/p>\nComo hemos dicho, esta regla la pon\u00e9is tal cual en WAN Local, LAN In, LAN Out y LAN Local, para que quede tal que as\u00ed:<\/p>\n
![\"Unifi](\"https:\/\/diego.dehaller.ch\/blog\/wp-content\/uploads\/2020\/05\/2017-01-01_21_06_29-UniFi_qzurqq.jpg\" "\\"Unifi")
<\/p>\nY ya est\u00e1. Hac\u00e9is lo mismo, si quer\u00e9is, con la regla para evitar el tr\u00e1fico entre IoT y el Controlador, y listo.<\/p>\n
Ah, la regla para bloquear el ping:<\/p>\n
![\"Unifi](\"https:\/\/diego.dehaller.ch\/blog\/wp-content\/uploads\/2020\/05\/2017-01-01_21_38_39-UniFi_sp64un.jpg\" "\\"Unifi")
Esta regla con ponerla en el WAN Local, ya vale. Fijaos que en Source y Destination est\u00e1n vac\u00edo, as\u00ed que mucho cuidado, que a lo tonto si os equivoc\u00e1is de protocolo bloque\u00e1is el acceso a Internet.<\/p>\nY ya est\u00e1, con esto ya ten\u00e9is una red Ubiquiti Unifi montada y configurada con lo que considero lo b\u00e1sico. Una \u00faltima recomendaci\u00f3n es que no activ\u00e9is el DPI, que analiza el tipo de tr\u00e1fico y hace que el router tenga que estar trabajando m\u00e1s para servir los paquetes, con lo que la velocidad se puede ver afectada. Si quer\u00e9is ver el tipo de tr\u00e1fico que gener\u00e1is, activadlo durante unas semanas y luego lo quit\u00e1is. Pero esto es s\u00f3lo mi recomendaci\u00f3n.<\/p>\n
Como siempre, si ten\u00e9is dudas, ponedlas en los comentarios y tratar\u00e9 de responderlas.<\/p>\n
\u00a1Un saludo y gracias por leerme!<\/p>\n","protected":false},"excerpt":{"rendered":"
Este post es el tercero de una serie que empieza con este primer post, y sigue con este segundo. Llegamos al tercer y \u00faltimo post. En los dos anteriores dejamos la red funcionando e hicimos las primeras configuraciones. Ahora nos falta por terminar un poco la seguridad, sobre todo para evitar que podamos comunicarnos […]<\/p>\n","protected":false},"author":6,"featured_media":19110,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[2016,2012,2015,2014,2013,618],"class_list":{"0":"post-18972","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-blog","8":"tag-firewall","9":"tag-red","10":"tag-switch","11":"tag-ubiquiti-networks","12":"tag-unifi","13":"tag-wifi","14":"czr-hentry"},"_links":{"self":[{"href":"https:\/\/diego.dehaller.ch\/blog\/wp-json\/wp\/v2\/posts\/18972","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/diego.dehaller.ch\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/diego.dehaller.ch\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/diego.dehaller.ch\/blog\/wp-json\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/diego.dehaller.ch\/blog\/wp-json\/wp\/v2\/comments?post=18972"}],"version-history":[{"count":12,"href":"https:\/\/diego.dehaller.ch\/blog\/wp-json\/wp\/v2\/posts\/18972\/revisions"}],"predecessor-version":[{"id":19476,"href":"https:\/\/diego.dehaller.ch\/blog\/wp-json\/wp\/v2\/posts\/18972\/revisions\/19476"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/diego.dehaller.ch\/blog\/wp-json\/wp\/v2\/media\/19110"}],"wp:attachment":[{"href":"https:\/\/diego.dehaller.ch\/blog\/wp-json\/wp\/v2\/media?parent=18972"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/diego.dehaller.ch\/blog\/wp-json\/wp\/v2\/categories?post=18972"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/diego.dehaller.ch\/blog\/wp-json\/wp\/v2\/tags?post=18972"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}