Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1
RSS
Невозможно заблокировать DNS-запросы, wifiman
 
#1
09.01.2024 23:54:00
Привет! Я пытаюсь заблокировать все DNS-запросы ко всем внешним DNS-серверам, кроме Quad9, на UDM SE (OS 3.2.7), но мои правила файрвола, похоже, не работают.  
1) Я создаю правило блокировки трафика для любых DNS-запросов и DNS over TLS: (это правило вообще не действует... и я даже не уверен, нужно ли оно вообще... есть ли в этом смысл?)  
 

Кроме того, я создал две следующие правила "internet in":  
 

Правила Accept выглядят так:  
 

А правила блокировки так:  
 

Группа портов DNS содержит только порт 53.  
Но это ничего не даёт — любой трафик всё равно проходит… Например, "dig www.microsoft.com @8.8.8.4" или любой другой DNS-сервер — каждый запрос проходит, я даже вижу трафик через Wireshark. Так не должно быть...  
 

Что не так? Или в файрволе серьёзный пробел в безопасности??? Это сводит меня с ума, я новичок в Unifi firewall, но это настоящий хаос и чёрный ящик... Я также пробовал правила "internet out" с назначением порта 53 — ничего не сработало.  

Очень буду признателен за помощь! Большое спасибо!  
Didier
 
 
 
#2
12.12.2024 21:54:00
Привет, @metome, ты сделал мой день, дорогой друг! Вкратце (ты сказал всё) — правила для DNS не работают, когда включена функция блокировки AD... Когда я её отключил, всё заработало прекрасно. Спасибо!
 
 
 
#3
03.09.2024 14:14:00
Рад, что нашёл этот пост и объяснение, потому что у меня была/есть такая же проблема. Я считаю, что возможность контролировать исходящий DNS именно таким образом действительно важна. Хакеры постоянно используют методы утечки данных через DNS, и это один из ключевых способов защититься от такой атаки. Для обычного пользователя или малого бизнеса это, возможно, ничего не значит, но для корпоративного администратора (как я) это то, что хотелось бы иметь, если когда-нибудь решишься на внедрение. Дома я использую только UniFi firewall. Рад использовать их коммутаторы на уровне доступа и точки доступа почти в любой среде, но это разочаровывающий вывод :(
 
 
 
#4
02.09.2024 22:59:00
Всем привет! Хотел оживить эту тему, так как недавно столкнулся с этой проблемой. Не могу заставить работать правила трафика (простые) для блокировки приложений (Facebook, Instagram и т.д.). Правила файрвола (расширенные) вроде работают, блокируя по IP или порту. Есть какие-то новости по этому поводу, @UI-Glenn? Спасибо!
 
 
 
#5
04.08.2024 17:37:00
@UI-Glenn У меня такая же проблема. Я хочу заблокировать доступ ко всем внешним DNS-серверам и включить блокировку рекламы на моём UDM MAX. Может, UniFi могло бы добавить в систему какую-то опцию для этого?
 
 
 
#6
30.05.2024 02:45:00
У меня тоже возникла такая проблема: функция блокировки рекламы включена, но при этом порт 53 разрешён для исходящего трафика через интерфейс "Internet Out". Как можно заблокировать исходящий трафик по порту 53 при включённой блокировке рекламы?
 
 
 
#7
10.02.2024 16:23:00
Привет, @UI-Glenn! Извини за поздний вопрос. Я понимаю, что UniFi ad block перенаправляет DNS-запросы на порт 53 к ad_block_dnsmasq, но а что насчёт DoT-запросов (порт 853)? Спасибо!
 
 
 
Страницы: 1
Читают тему (гостей: 1)