En este artículo se explicará cómo bloquear el enrutamiento de LAN a VLAN2, así como algunas otras técnicas para ajustar la comunicación entre interVLAN (entre VLANs).

NOTA: Se recomienda el USG  con firmware 4.3.41 o superior para este artículo.

Introducción

El enrutamiento entre VLANs está habilitado de forma predeterminada entre todas las redes LAN corporativas. En este artículo, se demostrará el bloqueo de LAN a VLAN2, así como algunas otras técnicas para ajustar la comunicación entre VLANs en redes corporativas.

Opción 1: Deshabilitar el enrutamiento interVLAN entre LAN y VLAN2

1. Para deshabilitar el enrutamiento interVLAN entre LAN y VLAN2, vaya al UniFi Controller > Settings > Routing and Firewall > Firewall > Rules > > LAN_IN¹
2. Cree una nueva regla con la configuración que se muestra a continuación y en la opción Action seleccione  Drop o Reject².

Notas:

1. LAN_IN es donde desea filtrar todo su tráfico de LAN/VLAN, ya que IN es el primer punto de entrada al Firewall, sin importar la interfaz. El conjunto de reglas OUT solo se usará en casos especiales.
2. Drop rechazará por completo el tráfico resultando en un mensaje en el cliente “Request time out” (Tiempo de espera agotado); Reject devolverá un paquete de conexión rechazado al cliente.
3. NETv4 incluye toda la red, ADDRv4 solo incluye la dirección de la interfaz del USG para esa red (ejemplo: 192.168.1.1 – 192.168.1.254 vs 192.168.1.1)

Opción 2: Bloquear todas las VLANs entre sí

Hay mucha flexibilidad para lograr el bloqueo del enrutamiento interVLAN. Si hay un gran número de VLAN y todas deben estar bloqueadas entre sí, esto se puede lograr con una regla:

El uso de la regla anterior bloqueará toda la comunicación de red privada entre las VLANs; sin embargo, el mismo tráfico de subredes/VLAN se permitirá como se esperaba, ya que nunca se enviará a la puerta de enlace predeterminada (USG). Los datos atravesarán la capa 2 de la red  y se transmitirán a través de frames mediante los switches intermedios.

Opción 3: Bloquear LAN a VLAN2, pero permitir VLAN2 a LAN

Si su objetivo es bloquear LAN a VLAN2, pero permitir VLAN2 a LAN, siga primero la Opción 1 y después continúe con la creación de una regla en la parte superior (primera regla) de LAN_IN con:

Agregando esta regla en la parte superior del conjunto de reglas permitirá que todo el tráfico del Firewall establecido y relacionado con el estado pueda pasar, que básicamente es todo el tráfico de “respuesta”.

Notas:

Al agregar nuevas reglas, tenga en cuenta que no tendrán efecto inmediato en las conexiones con estado existentes. Para resolver esto, realice una de las siguientes opciones:

• Espere a que los estados se caigan (cierre todas las conexiones y espere el tiempo de espera del estado, que es de aproximadamente 30 segundos)
• Entrar mediante SSH al USG y escribir clear connection-tracking. Esto borra toda la tabla de estados del USG
• Reinicia el USG