Ich verwende den Ubiquiti EdgeRouter in einem SOHO-Netzwerk. Ich habe ihn mit dem Assistenten „WAN+2LAN2“ konfiguriert, ohne die LAN-Ports zu überbrücken. Dadurch wird der Drei-Port-Router eingerichtet, wobei eth0 dem WAN zugewiesen ist und eth1 und eth2 zwei separate Subnetze bedienen, nämlich 10.0.0.1/24 bzw. 10.0.1.1/24. Ich plane, einen Switch zu eth1 hinzuzufügen, um mein LAN zu bedienen. Ich plane, einen Webserver an eth2 anzuschließen und Port 80 weiterzuleiten, um eine DMZ (Perimeter-Netzwerk) zu erstellen. Ich möchte den Zugriff auf die Web-GUI des Routers auf eth2 deaktivieren. Dadurch wird sichergestellt, dass der Router, falls meine DMZ kompromittiert wird, nicht überbrückt werden kann, um Zugriff auf den Rest meines LANs zu ermöglichen. Leider gibt es keine offensichtliche Möglichkeit, dies in der Web-GUI einzurichten. Wie kann ich den GUI-Zugriff für eine der LAN-Schnittstellen deaktivieren?
Antwort1
Dies ist mir gelungen, indem ich die IP-Adresse geändert habe, unter der die GUI lauscht. Ich bin sicher, dass es sinnvoll wäre, zusätzlich einige Firewall-Regeln dafür einzurichten. Folgendes hat bei mir auf der CLI funktioniert.
configure
set service gui listen-address 10.0.0.1
set service ssh listen-address 10.0.0.1
commit
save
exit
Standardmäßig lautet die IP-Adresse für eth1 192.168.1.1. Sie müssen die obige Adresse daher möglicherweise ändern, damit sie auf die IP-Adresse des Gateways Ihres LAN (IP-Adresse der Schnittstelle) verweist.