Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1
RSS
Создайте правило файрвола для использования конкретного DNS., wifiman
 
#1
21.01.2025 23:37:00
Всем привет! Я в восторге от своего нового Ui Gateway, он просто отличный по сравнению со старым роутером. Мне нужна помощь с созданием правила, которое будет направлять все сетевые устройства на использование конкретного DNS (Pi-hole). Я прочитал несколько похожих тем, но информации кажется немного сложной для меня. Буду очень благодарен за любую помощь! Спасибо!
 
 
 
#2
22.01.2025 15:53:00
Привет @NpRampage, спасибо за ответ. Хотел бы вернуться к этому вопросу. Я попробовал снять галочку с опции "Source", но потерял всю интернет-связь в своей сети. Насколько я понимаю работу правила DNAT, оно должно перенаправлять все запросы в Pi-hole, даже если настройки DNS меняются на отдельных устройствах. Прикладываю скриншот для справки. Кроме того, я пытался создать правила брандмауэра, но всё равно не могу решить проблему.
 
 
 
#3
22.01.2025 14:22:00
Начнём с того, что поле "Источник" должно быть не выбрано (то есть "любой"). Иначе ваше правило будут соответствовать только трафику с источником 192.168.0.125. Во-вторых, поле "Интерфейс" должно содержать имя VLAN в вашей конфигурации. Кстати, это может означать, что вам понадобится несколько правил DNAT, по одному на каждый VLAN.
 
 
 
#4
22.01.2025 13:01:00
Привет @travis.vitek,

Огромное спасибо за поддержку! Извините, что не обновил скриншот, например, я не использовал порт WAN 2. Это была моя ошибка.

Итак, в этом сценарии мне нужно использовать твой второй вариант, где все устройства в одной VLAN. К сожалению, у меня не получается.
 
 
 
#5
22.01.2025 07:26:00
Я думал, что деталей в прикрепленной ссылке достаточно, чтобы у вас получилось это настроить. Честно говоря, не похоже, что вы пытались повторить то, что там описано. Может, вам поможет прочитать правило DNAT вслух и сравнить его с тем, что вы хотите, чтобы это правило делало?

У вас получилось правило, которое будет перенаправлять трафик, который приходит на роутер с WAN2 и предназначен для порта 53 на любой адрес, и при этом приходит с любого порта с 192.168.0.125. Соответствующий трафик будет отправляться на 192.168.0.125 на порт 53.

Итак, какой трафик вы ожидаете, что будет приходить на роутер с WAN2, который должен идти на порт 53? Вы действительно хотите брать трафик с 192.168.0.125 и перенаправлять его обратно на 192.168.0.125?

Кажется, что вам нужно правило для трафика, который приходит на роутер из VLAN и предназначен для порта 53 на любой адрес, и при этом приходит с любого порта с любого адреса (на указанном VLAN). Вам нужно перенаправить этот трафик на 192.168.0.125 (Pi-Hole). Предполагая, что Pi-Hole не находится на рассматриваемом VLAN, вам должно быть легко перевести это описание простым языком в правило DNAT.
 
 
 
#6
22.01.2025 01:31:00
@RobbieH Да, я успешно настроил Pi-hole в качестве DNS-разрешателя, но теперь хочу настроить правило DNAT, чтобы все сети использовали этот кастомный DNS.
 
 
 
#7
22.01.2025 00:10:00
Просто измени имя DNS-сервера в пуле DHCP. Всё элементарно. Зайди в Настройки, Сети, выбери сеть и там это будет. Ничего сложного. Не могу прислать скриншот, потому что у меня нет Unifi gateway.
 
 
 
#8
22.01.2025 00:04:00
@s_squire Пожалуйста, взгляни!
 
 
 
#9
21.01.2025 23:53:00
@nicolas_bs То, что ты описываешь, это не правило брандмауэра, а правило DNAT. Создай его, чтобы перенаправлять весь трафик, предназначенный для порта 53, на IP-адрес твоего pi-hole.

Редактирую: смотри этот пост для деталей: https://community.ui.com/questions/Network-8-3-32-added-support-for-custom-NAT-rules-How-to-force-hardcoded-DNS-devices-to-go-via-my-l/62ca24d5-e9d9-41fb-af7f-b1f826cd6e54#answer/bf9d15e4-7b91-48fd-822d-bba8ab1c61a6
 
 
 
#10
21.01.2025 23:46:00
Отредактируйте пул DHCP и добавьте IP-адрес вашего piHole в качестве единственного источника DNS (выберите "Ручной DNS-сервер"). Кстати, так нужно для ЛЮБЫХ пулов DHCP, а не только для Unifi.
 
 
 
#11
22.01.2025 16:04:00
Да, если настроить всё правильно, это заставит все DNS-запросы идти через Pihole. Используя пост @travis.vitek и ещё один источник, мне удалось заставить это работать как положено. Если у вас пропала вся интернет-связь, начинайте отключать добавленные вещи, пока всё снова не начнёт работать, и разбирайтесь с настройками. Здесь может быть несколько факторов, и у меня сейчас недостаточно информации, чтобы предложить какое-то решение.
 
 
 
Страницы: 1
Читают тему (гостей: 1)