Я использую Ubiquiti EdgeRouter в сети SOHO. Я настроил его с помощью мастера "WAN + 2LAN2", без подключения портов LAN. Это настраивает трехпортовый маршрутизатор с eth0, назначенным для WAN, и eth1 и eth2, обслуживающим две отдельные подсети, 10.0.0.1/24 и 10.0.1.1/24 соответственно. Я планирую добавить коммутатор к eth1 для обслуживания моей локальной сети. Я планирую подключить веб-сервер к eth2, а порт перенаправления портов 80 для создания DMZ (сети периметра). Я хочу отключить доступ к веб-интерфейсу маршрутизатора на eth2. Это гарантирует, что, если моя DMZ будет скомпрометирована, маршрутизатор не сможет быть соединен мостом, чтобы разрешить доступ к остальной части моей LAN. К сожалению, нет очевидного способа настроить это в веб-интерфейсе. Как отключить доступ к графическому интерфейсу для одного из интерфейсов LAN?
Я смог сделать это, изменив IP-адрес, на котором слушает графический интерфейс. Я уверен, что было бы неплохо дополнительно настроить для этого несколько правил брандмауэра. Вот что у меня сработало в CLI.
configure
set service gui listen-address 10.0.0.1
set service ssh listen-address 10.0.0.1
commit
save
exit
По умолчанию IP-адрес для eth1 - 192.168.1.1, поэтому вам, возможно, придется изменить указанное выше, чтобы указывать на IP-адрес шлюза вашей локальной сети (IP-адрес интерфейса).