Como configurar o controle de acesso IPv6 no gateway Omada

Knowledgebase
Configuration Guide
ACL
08-02-2024
40666

Conteúdo

Objetivo

Requisitos

Introdução

Configuração

Bloquear o acesso à rede interna a partir da internet

Permitir o acesso à rede interna a partir da internet

Bloquear o acesso à internet

Verificação

Bloquear o acesso à rede interna a partir da internet

Permitir o acesso à rede interna a partir da internet

Bloquear o acesso à internet

Conclusão

 

Objetivo

Este artigo introduz como configurar o recurso de Controle de Acesso IPv6 (IPv6 Access Control) no gateway Omada por meio do Controlador Omada.

Requisitos

  • Série de Gateways Omada suportados pelo Omada SDN Controller 5.13 ou superior
  • Controlador Omada (Software Controller / Hardware Controller / Cloud-Based Controller)

Introdução

A ACL (Lista de Controle de Acesso) permite que um administrador de rede crie regras para restringir o acesso aos recursos da rede. As regras de ACL filtram o tráfego com base em critérios especificados, como endereços IP de origem, endereços IP de destino e números de portas, determinando se os pacotes correspondentes devem ser encaminhados ou descartados.

Configuração

Abaixo apresentaremos as etapas de configuração baseadas em cenários típicos de uso.

Bloquear o acesso à rede interna a partir da internet

Como o IPv6 não realiza NAT tradicional, os gateways Omada bloqueiam o acesso de redes externas às redes internas por padrão, sem exigir nenhuma configuração adicional por parte do usuário.

Siga os passos abaixo para configurar o recurso. Esta seção utiliza o ER706W como exemplo.

Passo 1. Configurar a conexão WAN IPv6

Vá em Configurações (Settings) > Redes Cabeadas (Wired Networks) > Internet, localize a seção Configuração de Portas WAN (WAN Ports Config) e clique no ícone Editar (Edit) na coluna Ação (Action) da porta WAN correspondente para carregar a página de configuração da WAN.

Na seção IPv6, selecione Habilitar (Enable) para o IPv6, configure o Tipo de Conexão (Connection Type) e demais parâmetros de acordo com os requisitos da sua rede e clique em Aplicar (Apply) para salvar as alterações.

Acesse a página da Lista de Dispositivos (Device List), clique no seu gateway Omada e, no painel lateral direito, clique em Detalhes (Details) para visualizar o status da conexão WAN IPv6.

Shows path to find WAN details.

Passo 2. Configurar a conexão LAN IPv6

Vá em Configurações (Settings) > Redes Cabeadas (Wired Networks) > LAN e clique no ícone Editar (Edit) na coluna Ação (Action) para abrir a página de configuração da LAN.

Clique em Configurar IPv6 (Configure IPv6) para exibir mais ajustes, configure o Tipo de Interface IPv6 (IPv6 Interface Type) e outros parâmetros de acordo com as necessidades da sua rede e clique em Salvar (Save) para gravar as alterações.

Conecte o dispositivo cliente à LAN e ele obterá automaticamente um endereço IPv6 válido.

Shows example of network details on adapter.

Permitir o acesso à rede interna a partir da internet

Como o IPv6 não utiliza NAT de maneira nativa padrão, os gateways Omada bloqueiam o tráfego originado na rede externa para a rede interna por segurança. Para permitir esse acesso vindo de fora, configure uma ACL de IPv6 liberando explicitamente o tráfego da rede externa para a interna.

Siga as etapas abaixo para estabelecer a conexão IPv6 e configurar o Controle de Acesso (Access Control). Esta seção utiliza o ER706W como exemplo.

Passo 1. Configurar a conexão WAN IPv6

Vá em Configurações (Settings) > Redes Cabeadas (Wired Networks) > Internet, localize a seção Configuração de Portas WAN (WAN Ports Config) e clique no ícone Editar (Edit) na coluna Ação (Action) da porta WAN correspondente para abrir a página de configuração.

Na seção IPv6, selecione Habilitar (Enable) para o IPv6, configure o Tipo de Conexão (Connection Type) e salve clicando em Aplicar (Apply).

Na Lista de Dispositivos (Device List), clique no gateway Omada e selecione a aba Detalhes (Details) para checar o status de conectividade WAN IPv6 no menu lateral.

Shows path to find WAN details.

Passo 2. Configurar a conexão LAN IPv6

Vá em Configurações (Settings) > Redes Cabeadas (Wired Networks) > LAN e clique no ícone Editar (Edit) na coluna Ação (Action) correspondente.

Clique em Configurar IPv6 (Configure IPv6), preencha o Tipo de Interface IPv6 (IPv6 Interface Type) de acordo com o fornecido pelo seu provedor e clique em Salvar (Save).

Conecte o host à LAN e certifique-se de que ele receba o endereço IPv6.

Shows example of validation from network adapter.

Passo 3. Configurar o Grupo IPv6 (IPv6 Group)

Vá em Configurações (Settings) > Perfis (Profiles) > Grupos (Groups) e clique em + Criar Novo Grupo (+ Create New Group).

Selecione o Tipo (Type) como Grupo IPv6 (IPv6 Group) e configure o grupo para o servidor local com o nome my_server e o grupo externo com o nome my_client.

Clique em Aplicar (Apply) e os grupos criados constarão na listagem abaixo.

Passo 4. Configurar a regra de Controle de Acesso (ACL)

Vá em Configurações (Settings) > Segurança da Rede (Network Security) > ACL > Gateway ACL e clique em Criar Nova Regra (Create New Rule).

Na seção Criar Nova Regra (Create New Rule), defina a Descrição (Description) como allow_client_in, o Status como Habilitar (Enable), a Direção (Direction) como [WAN2]IN, a Política (Policy) como Permit (Permitir), os Protocolos (Protocols) como ALL, a Origem (Source) como o grupo IPv6 my_client e o Destino (Destination) como o grupo IPv6 my_server.

Nota: Certifique-se de que o firmware do seu gateway esteja atualizado na versão mais recente para garantir suporte total a esse recurso.

Nas configurações avançadas (Advanced Settings), a opção de intervalo de tempo (Time Range) vem desativada por padrão. Mantenha os valores padrão, a menos que queira estipular horários específicos para a regra funcionar.

Clique em Criar (Create) e a nova política será adicionada ao sumário.

Bloquear o acesso à internet

Ao configurar regras de Controle de Acesso, os administradores ou responsáveis podem restringir o tráfego de saída de determinados hosts para a internet pública (filtros de controle dos pais, por exemplo).

Siga as etapas abaixo para configurar esta funcionalidade utilizando o ER706W como referência.

Passo 1. Configurar a conexão WAN IPv6

Vá em Configurações (Settings) > Redes Cabeadas (Wired Networks) > Internet, localize a seção Configuração de Portas WAN (WAN Ports Config) e clique no ícone Editar (Edit) correspondente à porta WAN ativa.

Habilite o IPv6, insira os parâmetros do tipo de conexão fornecidos pelo ISP e clique em Aplicar (Apply).

Na aba Lista de Dispositivos (Device List), clique no seu gateway Omada e abra o menu Detalhes (Details) para ratificar o status online do IPv6.

Shows path to find WAN details.

Passo 2. Configurar a conexão LAN IPv6

Vá em Configurações (Settings) > Redes Cabeadas (Wired Networks) > LAN e abra o menu de edição.

Em Configurar IPv6 (Configure IPv6), ajuste a distribuição de prefixo conforme as diretrizes do seu provedor e selecione Salvar (Save).

Conecte o computador cliente desejado à rede e certifique-se de que ele receba o escopo IPv6 global.

Shows example of validation from network adapter.

Passo 3. Configurar o Grupo IPv6 (IPv6 Group)

Vá em Configurações (Settings) > Perfis (Profiles) > Grupos (Groups) e clique em + Criar Novo Grupo (+ Create New Group).

Selecione o tipo como Grupo IPv6 (IPv6 Group), configurando o escopo global da internet como o grupo internet e os endereços IP dos computadores restritos como o grupo children_pc.

Salve clicando em Aplicar (Apply) e as duas definições constarão na tabela.

Passo 4. Configurar a regra de Controle de Acesso (ACL)

Vá em Configurações (Settings) > Segurança da Rede (Network Security) > ACL > Gateway ACL e clique em Criar Nova Regra (Create New Rule).

Preencha os parâmetros da seguinte forma: Descrição (Description) como block_internet_of_child, Status como Habilitar (Enable), Direção (Direction) como LAN->WAN, Política (Policy) como Deny (Negar), Protocolos (Protocols) como ALL, Origem (Source) como o grupo children_pc e Destino (Destination) mapeado para o grupo internet.

Mantenha as configurações de agendamento avançado padrão e conclua clicando em Criar (Create).

A regra passará a atuar ativamente na filtragem de pacotes, conforme sumário abaixo.

Verificação

Bloquear o acesso à rede interna a partir da internet

Com a conectividade IPv6 estabelecida, os computadores da rede local interna conseguem navegar para fora normalmente.

Por sua vez, hosts externos localizados na internet pública não conseguirão alcançar os IPs privados locais de forma direta devido ao bloqueio padrão de conexões de entrada do gateway.

Permitir o acesso à rede interna a partir da internet

Os computadores internos mantêm o livre tráfego de saída para a rede externa.

Antes de aplicar a ACL customizada de entrada, conexões externas falham. Uma vez aplicada a regra de exceção no Firewall (Passo 4 do cenário correspondente), o tráfego vindo da internet direcionado ao servidor local passa a responder com sucesso.

Bloquear o acesso à internet

Sem a regra de bloqueio, o computador infantil navega livremente. Assim que a regra de Gateway ACL configurada no modo "Deny" passa a atuar, as requisições de rede originadas pelo host são terminadas de forma imperativa pelo Firewall, impedindo a navegação.

Conclusão

Você configurou com sucesso as políticas de Controle de Acesso IPv6 (IPv6 Access Control) no seu Gateway Omada.

Para saber mais detalhes de cada função e configuração, por favor acesse o Centro de Downloads para baixar o manual do seu produto.

Por favor, avalie este documento

Documentos relacionados