Exemplos de Configuração de Controle de Acesso do Gateway Omada
Sumário
ACL do Gateway no Modo Controlador
ACL de Gateway em Modo Autônomo
Cenário I: Isolamento de Rede (Bidirecional)
Cenário II: Acesso à VLAN de Gerenciamento (Unidirecional)
Cenário III: Restringir o acesso do usuário VPN a recursos locais específicos
Cenário IV: Somente acesso à Internet
Introdução
As Listas de Controle de Acesso (ACLs) controlam o tráfego entre redes, dispositivos e serviços, permitindo ou negando-o com base em critérios definidos. As ACLs podem ser usadas para aprimorar a segurança da rede, aplicar políticas de acesso e isolar recursos dentro da rede.
Este guia demonstra vários cenários comuns de implementação de ACLs em gateways Omada, tanto no modo Controlador quanto no modo Autônomo. Esses exemplos incluem isolamento de rede, proteção da rede de gerenciamento, restrições de acesso VPN e políticas de acesso somente à Internet. Ao seguir esses cenários, os administradores podem entender melhor como as ACLs podem ser usadas para proteger e gerenciar o tráfego em seu ambiente de rede.
Requisitos
- Gateway Omada
- Controlador Omada
Referência de Parâmetros
ACL do Gateway no Modo Controlador:

Descrição:Insira uma descrição para identificar a ACL.
Status:Clique na caixa de seleção para ativar a ACL.
Direção: Selecione o fluxo de tráfego ao qual a regra ACL será aplicada.
Política: Selecione a ação a ser tomada quando um pacote corresponder à regra.
Negar: Descartar o pacote correspondente.
Permitir:Encaminhar o pacote correspondente.
Protocolos: Selecione um ou mais tipos de protocolo aos quais a regra se aplica na lista suspensa. O padrão é Todos, indicando que pacotes de todos os protocolos serão considerados. Com TCP, UDP ou ambos selecionados, você pode definir o endereço IP e o número da porta de um pacote como critérios de filtragem de pacotes na regra.
Log: Quando ativado, o sistema pode coletar o log efetivo de entradas da ACL. Para usar esta função, configure primeiro a função de registro remoto.
Regra:
1) Fonte: Selecione os critérios de origem na lista suspensa para comparar com um pacote.
Rede:Selecione a rede que você criou. Se nenhuma rede tiver sido criada, você pode selecionar a rede padrão (LAN) ou acessar Configuração de Rede > Configurações de Rede > LAN para criar uma.
! Rede: Selecione uma rede que você criou e as configurações não serão aplicadas a essa rede.
Grupo de IP:Selecione o Grupo de IP que você criou. Se nenhum Grupo de IP tiver sido criado, clique em + Criar nesta página ou acesse Configuração de Rede > Perfil > Grupos para criar um. O sistema verificará se o endereço IP de origem do pacote pertence ao Grupo de IP.
! Grupo de IP: Selecione um Grupo de IP que você criou e as configurações não serão aplicadas a esse Grupo de IP.
2) Destino: Selecione os critérios de destino na lista suspensa para comparar com um pacote.
Rede:Selecione a rede que você criou. Se nenhuma rede tiver sido criada, você pode selecionar a rede padrão (LAN) ou acessar Configuração de Rede > Configurações de Rede > LAN para criar uma.
! Rede: Selecione uma rede que você criou e as configurações não serão aplicadas a essa rede.
Grupo de IP: Selecione o Grupo de IP que você criou. Se nenhum Grupo de IP tiver sido criado, clique em + Criar nesta página ou acesse Configuração de Rede > Perfil > Grupos para criar um. O sistema verificará se o endereço IP de origem do pacote está no Grupo de IP.
! Grupo de IPs: Selecione um Grupo de IPs que você criou e as configurações não serão aplicadas a esse Grupo de IPs.
Página de Gerenciamento do Gateway: Esta opção permitirá/bloqueará todos os pacotes enviados da origem especificada para o endereço IP da interface WAN e LAN do gateway.
Configurações avançadas:
Intervalo de tempo: Crie o intervalo de tempo ou selecione um intervalo de tempo existente para que a regra da ACL entre em vigor.
Bidirecional: Na direção LAN-LAN, clique na caixa de seleção para permitir que o gateway crie outra ACL simétrica com o nome “xxx_reverse”, onde “xxx” é o nome da ACL atual. As duas ACLs têm como alvo pacotes com direções opostas.
Tipo de estado: Determine o tipo de regra ACL com estado. Recomenda-se usar o tipo Automático padrão.
Automático (Correspondência de Estado: Novo/Estabelecido/Relacionado):Corresponde aos estados de conexão novo, estabelecido e relacionado.
Manual: Se selecionado, você pode especificar manualmente os estados de conexão a serem correspondidos.
Correspondência de Estado Novo:Corresponde às conexões do estado inicial. Por exemplo, um pacote SYN chega em uma conexão TCP ou o roteador recebe tráfego apenas em uma direção.
Estado de Correspondência Estabelecido:Corresponde às conexões que foram estabelecidas. Em outras palavras, o firewall detectou a comunicação bidirecional desta conexão.
Correspondência de Estado Relacionado:Corresponde às subconexões associadas a uma conexão principal, como uma conexão a um canal de dados FTP.
Estado de Correspondência Inválido:Corresponder às conexões que não se comportam como esperado.
Para ver a definição de todos os parâmetros, clique na central de ajuda no canto superior direito da tela de criação da ACL e expanda Parâmetros.

ACL do Gateway no Modo Autônomo:

Política: Selecione se deseja bloquear ou permitir que os pacotes que correspondem à regra acessem a rede.
Tipo de IP: Especifique o tipo de IP ao qual a regra será aplicada: IPv4 ou IPv6.
Direção: Selecione o sentido de tráfego efetivo para a regra.
- TODOS: Combine o tráfego em qualquer direção.
- LAN->WAN: Direcionar o tráfego da LAN para a WAN.
- LAN->LAN: Correspondência de tráfego de LAN para LAN.
- [WAN] ENTRADA: Corresponder ao tráfego que chega via [WAN].
Tipo de origem/destino: Selecione o tipo de origem/destino da regra criada.
Grupo IP/IPv6: A regra se aplica a grupos IP/IPv6 específicos. Com esta opção selecionada, escolha o grupo IP/IPv6. Se desejar criar ou personalizar grupos IP/IPv6, acesse Preferências > Grupo IP ou Preferências > Grupo IPv6. O grupo IP/IPv6 selecionado contém clientes com e sem fio com os endereços IP/IPv6 correspondentes.
Rede: Esta regra aplica-se a redes LAN específicas. Com esta opção selecionada, escolha a rede. Se desejar criar ou personalizar redes, acesse Rede > LAN. A Rede LAN selecionada contém todos os clientes da rede cabeada e os SSIDs que pertencem a esta Rede LAN.
Origem/Destino:
Selecione o Grupo IP/IPv6: Na lista suspensa, selecione um grupo IP/IPv6 para especificar o intervalo de endereços de origem/destino para a regra. O grupo IP/IPv6 aqui mencionado pode ser criado em Preferências > Grupo IP ou Preferências > Grupo IPv6.
Selecione a rede: Na lista suspensa, selecione uma rede LAN para especificar o intervalo de redes LAN de origem/destino para a regra. A rede LAN referenciada aqui pode ser criada em Rede > LAN.
Período de vigência: Selecione o período de vigência da regra. O período de vigência aqui mencionado pode ser definido na página Preferências > Intervalo de tempo.
Estados: Determine o tipo de regra ACL com estado. Recomenda-se usar o tipo Automático padrão.
Novo: Corresponde às conexões do estado inicial. Por exemplo, um pacote SYN chega em uma conexão TCP ou o roteador recebe tráfego apenas em uma direção.
Estabelecida: Corresponde às conexões que foram estabelecidas. Em outras palavras, o firewall detectou a comunicação bidirecional desta conexão.
Relacionado: Corresponde às subconexões associadas a uma conexão principal, como uma conexão a um canal de dados FTP.
Inválido: Identifique as conexões que não se comportam como esperado.
Para ver a definição de todos os parâmetros, pressione ? no canto superior direito da página e veja Parâmetros.

Cenário I: Isolamento de Rede (Bidirecional)

Neste exemplo, as VLANs 31 (10.0.31.0/24) e 33 (10.0.33.0/24) serão isoladas uma da outra usando regras de ACL LAN-para-LAN. Os dispositivos dentro dessas redes não poderão se comunicar entre as VLANs, enquanto o tráfego para outras redes internas e para a Internet permanecerá inalterado.
Como as ACLs do Omada Gateway incluem uma regra de permissão implícita, somente o tráfego que corresponder às regras de negação configuradas será bloqueado. Todo o restante do tráfego continuará sendo encaminhado normalmente.
Modo Controlador
SPasso 1. Faça login no controlador e navegue até seu Site > Rede Configuração > Segurança > ACL.

SPasso 2. Em seguida, acesse Gateway ACL e clique em Criar nova regra.

Etapa 3. Aqui, uma regra é criada para negar o tráfego da VLAN 31 para a VLAN 33.
Preencha os parâmetros apropriados
Clique em Configurações Avançadas e selecione Bidirecional para criar automaticamente outra regra que troca Origem e Destino
Selecione Criar quando terminar


Modo Independente
Passo 1. Faça login no seu roteador, navegue até Firewall e Controle de Acesso e clique em Adicionar.

Etapa 2.Preencha os parâmetros.
Aqui, a primeira regra é bloquear a comunicação da VLAN 31 com a VLAN 33.
Clique em OK quando terminar.

SPasso 3. Clique em Adicionar novamente e crie a mesma regra, mas com a Origem e o Destino invertidos.

Cenário II: Acesso à VLAN de Gerenciamento (Unidirecional)

Neste exemplo, a VLAN 1 (10.0.0.0/24) está configurada como a VLAN de Gerenciamento. O objetivo é permitir que os dispositivos dentro da VLAN de Gerenciamento acessem recursos nas VLANs 31 (10.0.31.0/24) e 33 (10.0.33.0/24), impedindo que os dispositivos nessas redes iniciem comunicação de volta para a VLAN de Gerenciamento.
Essa configuração é comumente usada para permitir que administradores gerenciem dispositivos de rede e sistemas clientes, limitando o acesso não autorizado aos recursos de gerenciamento. Como as ACLs do Omada Gateway incluem uma regra de permissão implícita, somente o tráfego que corresponder às regras de negação configuradas será bloqueado, enquanto todo o restante do tráfego continuará sendo encaminhado normalmente.
Modo Controlador
SPasso 1. Faça login no controlador e navegue até seu Site > Rede Configuração > Segurança > ACL.

Passo 2. Em seguida, acesse o Gateway ACL e clique em Criar nova regra.

Etapa 3.Preencha os parâmetros.
O exemplo abaixo é uma regra de negação de LAN, restringindo a comunicação entre as VLANs 31 e 33 e a VLAN de gerenciamento.
Clique em Criar quando terminar.

Modo Independente
Passo 1. Faça login no seu roteador, navegue até Firewall e Controle de Acesso e clique em Adicionar.

Etapa 2.Configure os parâmetros da ACL.
O exemplo abaixo é uma regra de negação de LAN que impede que dispositivos da VLAN 31 se comuniquem com a VLAN de gerenciamento.
Clique em OK quando terminar.
Repita os passos para as outras VLANs.


Cenário III: Restringir o acesso do usuário VPN a recursos locais específicos

As conexões VPN permitem que usuários e locais remotos acessem com segurança recursos localizados em outra rede. No entanto, em muitas implementações, os dispositivos conectados à VPN devem ter permissão para acessar apenas os recursos necessários, sendo o acesso restrito a sistemas sensíveis, como equipamentos de vigilância, dispositivos de gerenciamento ou outras infraestruturas críticas.
Neste exemplo, uma VPN Site-to-Site é estabelecida entre dois Gateways Omada. Um dispositivo na rede remota (10.0.33.0/24) terá permissão para acessar a VLAN 31 (10.0.31.0/24) e recursos autorizados na VLAN 1, como o NAS (10.0.1.6). No entanto, o acesso ao NVR (10.0.1.10) será restrito por meio de regras de ACL. Essa abordagem permite a conectividade normal da VPN, protegendo recursos locais selecionados contra acessos desnecessários.
O exemplo a seguir também será mostrado por meio do roteador que hospeda as VLANs 1 e 31 na topologia acima.
Nota: Se o Omada Gateway estiver configurado como um servidor VPN (PPTP, L2TP, OpenVPN ou WireGuard), crie um grupo de IPs usando o pool de endereços VPN atribuído aos clientes remotos. Esse grupo de IPs pode ser usado como origem ou destino ao criar regras de ACL para controlar o acesso entre clientes VPN e recursos da rede local.
Modo Controlador
Etapa 1.Antes de criar a regra ACL, precisamos criar grupos de IP para especificar o host ao qual precisamos restringir o acesso e outro grupo de IP para a sub-rede local remota da VPN.
Faça login no controlador, acesse o Site e navegue até Rede Configuração > Perfil > Grupos

Etapa 2.Clique em Criar Novo Grupo e preencha os parâmetros.
Aqui, os parâmetros especificados são para o NVR.
Clique em Aplicar e repita os mesmos passos para a sub-rede remota no site remoto.



Etapa 3.Em seguida, acesse Rede Configuração > Segurança > e clique em ACL.

Etapa 4.Em seguida, acesse o Gateway ACL e clique em Criar nova regra.

Etapa 5.Preencha os parâmetros.
Para Direção, certifique-se de que a direção da ACL corresponda à interface WAN na qual o túnel VPN está estabelecido.
Neste exemplo, o túnel reside na WAN/LAN3, portanto, a opção selecionada é [WAN/LAN 3] IN.
Clique em Criar quando terminar.

Modo Autônomo
Etapa 1:Crie um grupo de IP para o NVR e as sub-redes remotas.
Os grupos de IP são necessários porque as ACLs do gateway fazem referência a grupos de IP em vez de endereços IP individuais.
Faça login no seu roteador e navegue até Preferências > Grupo de IP > Endereço IP e clique em Adicionar.

Etapa 2.Preencha os parâmetros.
O endereço IP do NVR está especificado abaixo.
Clique em OK após concluir e repita os mesmos passos para o esquema de IP da sub-rede remota.


Passo 3.Em seguida, navegue até Grupo de IP > clique em Adicionar > e preencha os parâmetros.
Clique em OK quando terminar.
Faça isso duas vezes, uma para o NVR e outra para a sub-rede remota.


Etapa 4.Por fim, crie a regra de negação.
Acesse Firewall > Controle de Acesso > e clique em Adicionar.

Etapa 5.Preencha os parâmetros para a regra de negação.
Aqui, certifique-se de que a porta WAN correta esteja selecionada para a WAN IN Direction da política.
Neste roteador, a WAN 1 é utilizada, portanto, [WAN1] IN está selecionado.
Clique em OK quando terminar.

Cenário IV: Somente acesso à Internet

Em alguns ambientes de rede, pode ser desejável fornecer acesso à Internet a um grupo de usuários, impedindo-os de acessar recursos internos da rede. Exemplos comuns incluem redes para visitantes, redes de terceirizados, quiosques públicos e outros dispositivos não confiáveis que não exigem acesso aos sistemas corporativos.
Neste exemplo, a VLAN 33 (10.0.33.0/24) será configurada como uma rede somente para a Internet. Os dispositivos dentro da VLAN 33 poderão acessar recursos da Internet, mas a comunicação com dispositivos localizados na VLAN 1 (10.0.0.0/24) será negada por meio de regras de ACL LAN-para-LAN.
Modo Controlador
SPasso 1. Faça login no controlador e navegue até seu Site > Rede Configuração > Segurança > ACL.

Passo 2. Em seguida, acesse o Gateway ACL e clique em Criar nova regra.

Etapa 3.Crie uma regra de negação e preencha os parâmetros.
Neste exemplo, a VLAN 33 está impedida de se comunicar com todas as outras VLANs no gateway.
O tipo de destino está configurado como !Rede. O ponto de exclamação “!” indica uma condição lógica “NÃO”, o que significa que a regra se aplica a todas as redes, exceto a rede especificada. Como a VLAN 33 foi selecionada como rede de origem e de destino excluída, o tráfego originado da VLAN 33 e destinado a qualquer outra VLAN será negado.
Clique em Aplicar após concluir.

Etapa 4.Em seguida, crie outra regra de negação para a página de gerenciamento do gateway, para que a rede não tenha acesso à interface do usuário do gateway padrão.
Clique em Aplicar após concluir.

Modo Independente
Passo 1. Faça login no seu roteador, navegue até Firewall e Controle de Acesso e clique em Adicionar.

Etapa 2.Crie uma regra de negação e preencha os parâmetros.
Neste exemplo, a VLAN 33 está impedida de se comunicar com todas as outras VLANs no gateway.
O tipo de destino está configurado como !Rede. O ponto de exclamação “!” indica uma condição lógica “NÃO”, o que significa que a regra se aplica a todas as redes, exceto a rede especificada. Como a VLAN 33 foi selecionada como rede de origem e de destino excluída, o tráfego originado da VLAN 33 e destinado a qualquer outra VLAN será negado.
Clique em OK quando terminar.

Etapa 3.Em seguida, crie uma regra para bloquear a VLAN 33 a partir do endereço IP do gateway.
Aqui Eu equivale a todos os endereços IP do gateway da interface.
Clique em OK assim que terminar.

Conclusão
Ao usar ACLs de gateway, os administradores podem controlar a comunicação entre redes, restringir o acesso a recursos sensíveis e aplicar políticas de segurança em toda a rede. Seja isolando VLANs, protegendo redes de gerenciamento, limitando o acesso à VPN ou fornecendo conectividade somente à Internet, as ACLs oferecem um método flexível de controlar o fluxo de tráfego, mantendo o acesso a recursos autorizados.
Para saber mais sobre cada função e configuração, visite Página Inicial de Suporte para baixar ou consultar o manual do seu produto.
QA
P1: Por que dispositivos na mesma VLAN ainda conseguem se comunicar após a criação de uma ACL de gateway?
A1: As ACLs do gateway inspecionam apenas o tráfego que atravessa o gateway. O tráfego entre dispositivos na mesma VLAN é comutado localmente e não passa pelo gateway. Para restringir a comunicação dentro da mesma VLAN, use ACLs de switch, isolamento de porta ou VLANs separadas.