LW IT Solutions
«« Blog Overview « IT & Networks
This post in other languages:

Publiczne serwery w prywatnej sieci UniFi: Przewodnik o separacji sieci

Utrzymywanie publicznie dostępnego serwera – np. Raspberry Pi obsługującego serwer WWW, Nextcloud lub własną aplikację – to doskonały sposób na przejęcie pełnej kontroli nad danymi. Jednak udostępnienie urządzenia z sieci lokalnej do internetu wiąże się z istotnymi zagrożeniami bezpieczeństwa. Jeśli serwer zostanie zainfekowany, płaska architektura sieci daje atakującemu swobodny dostęp do komputerów osobistych, serwerów NAS i urządzeń inteligentnych.

Rozwiązaniem jest separacja sieci przy użyciu sieci VLAN (Virtual Local Area Networks). W poprawnej architekturze DMZ (Demilitarized Zone), serwer Raspberry Pi powinien być dostępny z internetu i zaufanej sieci wewnętrznej, ale samo urządzenie musi mieć całkowicie zablokowaną możliwość inicjowania połączeń w stronę pozostałych urządzeń w domu. Oto techniczna analiza budowy takiej architektury w ekosystemie Ubiquiti UniFi, z uwzględnieniem różnic między starym podejściem do reguł firewall a nowoczesną konfiguracją opartą na strefach (Zone-based).

Cel

Zanim przejdziemy do konfiguracji, zdefiniujmy dokładne wymagania dotyczące ruchu dla Raspberry Pi (RPI) znajdującego się w dedykowanej sieci VLAN (np. VLAN 50 – DMZ):

  • Internet do RPI: Dozwolony (ograniczony do konkretnych przekierowanych portów, np. 80/443).
  • Wewnętrzna sieć LAN do RPI: Dozwolony (w celu zarządzania przez SSH lub dostępu do paneli).
  • RPI do Internetu: Dozwolony (dla aktualizacji oprogramowania i zapytań API).
  • RPI do wewnętrznej sieci LAN: Ściśle zablokowany (w celu izolacji ewentualnych naruszeń).

„Stare” podejście: Tradycyjne reguły firewall (LAN IN)

Zanim Ubiquiti odświeżyło interfejs firewalla, separacja sieci wymagała głębokiego zrozumienia przepływu pakietów w stylu iptables – konkretnie łańcuchów LAN IN, LAN OUT i LAN LOCAL. Aby odizolować VLAN z Raspberry Pi, należało ręcznie układać reguły w zakładce LAN IN (która zarządza ruchem wchodzącym do routera z sieci lokalnej, zanim zostanie on przekierowany gdzie indziej).

Sekwencja starych reguł wyglądała następująco:

  1. Zezwolenie na ruch ustanowiony i powiązany (Established and Related): Ruch powrotny jest akceptowany, co pozwala komputerom z zaufanej sieci na odbieranie odpowiedzi od serwera RPI.
  2. Odrzucenie ruchu DMZ do zaufanej sieci LAN: To główny wyłącznik. Ponieważ znajduje się poniżej pierwszej reguły, RPI może odpowiadać na zapytania, ale wszelkie nowe połączenia wychodzące z RPI do sieci prywatnej są odrzucane.

Metoda ta, choć skuteczna, była podatna na błędy użytkownika. Pomyłka w kolejności reguł lub błędne zrozumienie różnicy między LAN IN a LAN LOCAL często prowadziły do problemów z łącznością lub złudnego poczucia bezpieczeństwa.

„Nowe” podejście: Reguły ruchu oparte na strefach (Zone-Based)

Wraz z aktualizacjami aplikacji UniFi Network, Ubiquiti wprowadziło reguły ruchu (Traffic Rules) oraz nowoczesny firewall oparty na strefach. Zmiana ta abstrahuje złożone łańcuchy routingu na rzecz podejścia celowego. Zamiast zastanawiać się, jak pakiety przechodzą przez interfejsy routera, definiuje się polityki między wyznaczonymi strefami (sieciami).

Konfiguracja w nowoczesnym interfejsie UniFi:

  1. Przejdź do Security > Traffic & Firewall Rules.
  2. Stwórz nową regułę: Block.
  3. Kategoria: Local Network.
  4. Źródło: Network -> DMZ VLAN (Raspberry Pi).
  5. Przeznaczenie: Network -> Trusted LAN (lub wybierz wszystkie sieci wewnętrzne).
  6. Kierunek: Traffic from Source to Destination.

Magia stref: System automatycznie obsługuje inspekcję stanową (stateful inspection). UniFi wie, że ma zezwolić na ruch „Established and Related” bez potrzeby tworzenia dedykowanej reguły. Twoje zaufane urządzenia mogą komunikować się z serwerem, ale jeśli Raspberry Pi zostanie przejęte i spróbuje wysłać ping do NAS-a, reguła strefowa zadziała jak mur. Konfiguracja jest czystsza, bardziej czytelna i mniej podatna na pomyłki.

Uwaga o przekierowaniu portów (Port Forwarding)

Gdy serwer jest bezpiecznie odizolowany w swoim VLAN-ie, musi stać się dostępny dla świata zewnętrznego. W starych systemach wymagało to ręcznego tworzenia reguł NAT (DNAT) oraz odpowiadających im reguł WAN IN.

W UniFi jest to uproszczone:

  1. Przejdź do Settings > Port Forwarding.
  2. Stwórz nową regułę: określ port (np. 443 dla HTTPS) oraz adres IP serwera RPI.
  3. Kontroler automatycznie przygotuje tłumaczenia NAT i dynamicznie wstrzyknie reguły WAN IN, aby zezwolić na ruch zewnętrzny tylko dla tego portu w izolowanym VLAN-ie. Serwer jest teraz online, a życie prywatne użytkownika pozostaje odseparowane.

Lukas Wojcik

Lukas Wojcik

Systems architect and technology enthusiast specializing in scalable tracking solutions, GMP Stack (GA4 & GTM), and robust backend architectures. Advocate for clean code and privacy-first design.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Wymagane pola są oznaczone *

ALL ARTICLES & CATEGORIES

CCTV

Data Privacy

Digital Analytics

Digital Marketing

IT & Networks

Smart Home