Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1
RSS
Masquerade NAT для DNS, wifiman
 
#1
22.08.2024 18:28:00
Я признаю, что у меня совершенно не получается работать с NAT. Как настроить запись Masquerade NAT для перенаправления DNS-запросов от IoT-устройств с жестко заданным DNS, чтобы использовать внутренний DNS в UniFi Gateway? Один простой скриншот со всеми настройками был бы идеален. Я нашел несколько онлайн-ручек, но ни одна из них не использует новый интерфейс для этого.
 
 
 
#2
23.09.2024 14:05:00
Да, именно для этого предназначена Фильтрация Контента - спасибо за напоминание. Не уверен, кого использует Ubiquiti для Блокировки Рекламы, потому что этот список загружается локально раз в день - вероятно, сведен из нескольких источников. Фильтрация Контента немного отличается, так как эти DNS-запросы перенаправляются на CleanBrowsing.
 
 
 
#3
23.09.2024 13:53:00
Честно говоря, мы никогда не использовали фильтрацию контента на каких-либо сайтах за все годы использования оборудования Ubiquiti. Это разве не CleanBrowsing или какая-то другая компания? Ты знаешь источник DNS-списка, если вдруг решишь использовать блокировку рекламы? Я пытался погуглить, но безуспешно.
 
 
 
#4
23.09.2024 13:31:00
К вашему сведению, опция фильтрации контента работает очень похоже, используя DNS и DNAT, но есть сторонняя компания, которая отвечает за поддержание списков доменов. Я не помню ее название, но многие производители межсетевых экранов используют их для списков источников. Лично я не использую эту опцию, но она доступна для каждой сети отдельно. Я предпочитаю контролировать такие функции с помощью правил трафика.
 
 
 
#5
23.09.2024 13:16:00
Да, мне стоит, наверное, попробовать функцию блокировки рекламы UniFi на каком-нибудь сайте, потому что я, похоже, ещё не до конца понимаю, как она действительно работает из-за недостатка документации.
 
 
 
#6
23.09.2024 11:33:00
Ubiquiti не славится обширной документацией по техническим аспектам работы некоторых технологий за кулисами. Я бы не назвал это «взломом», и я знаю другие компании по производству межсетевых экранов, которые делают это точно так же. Нет ничего плохого в использовании других упомянутых вами DNS-сервисов, но если вы действительно цените свою конфиденциальность, эти компании получат доступ к вашим DNS-запросам. Использование UniFi Ad Block выполняет всю работу локально. Есть файл со списком доменов, который скачивается один раз в день, в котором содержится более 100,000 доменных имен, подлежащих блокировке. Единственные DNS-запросы, которые уходят за пределы вашей консоли, — это те, которые не блокируются, и именно тут на помощь приходит DNS Shield. Чтобы пойти дальше, вы можете использовать UniFi Ad Blocking вместе с NextDNS или аналогичным сервисом.
 
 
 
#7
23.09.2024 09:03:00
Большое спасибо за помощь в понимании того, что происходит при использовании блокировщиков рекламы. Я знаю, что адресный блок 203.0.113.0/24 не маршрутизируем и зарезервирован для документации. Я наткнулся на текст "эти блоки не предназначены для локального использования" в RFC. Но мне не нравится такое хакерство, особенно когда блокировка рекламы и переадресация DNS в UniFi не задокументированы. Я раньше не использовал блокировку рекламы, но, вероятно, стал бы использовать NextDNS, AdGuard или Control D. Я еще протестирую, почему предложенное выше правило DNAT не сработало, но может быть, что оно и сработало, но мои методы тестирования каким-то образом ошибочны. Читая два других сообщения в сообществе, понимаешь, что существует множество параметров, которые могут на это повлиять. Да, видео на его канале действительно полезны для устранения неполадок, и это то же видео, которое я ссылался выше.
 
 
 
#8
22.09.2024 21:08:00
Chain DNSFILTER (2 references) num pkts bytes target prot opt in out source destination 1 0 0 DNAT tcp -- * * 192.168.3.0/26 0.0.0.0/0 tcp dpt:53 to:203.0.113.2:53 2 0 0 DNAT udp -- * * 192.168.3.0/26 0.0.0.0/0 udp dpt:53 to:203.0.113.2:53 Существуют определенные публичные IP-блоки, зарезервированные для использования в локальных сетях. Это один из них. Ваш DNS-трафик клиента перенаправляется на ваш шлюз UniFi. Как и адреса RFC1918, он не маршрутизируется по Интернету. Вам не о чем беспокоиться, блокировка рекламы UniFi работает, как задумано. Люди в том посте на Reddit раздувают проблему. Я предлагаю вам кликнуть по ссылке ниже, чтобы прочитать о его использовании. Этот IP-блок не зарегистрирован за какой-либо компанией, так как это зарезервированное IP-пространство. https://www.rfc-editor.org/rfc/rfc5737.html Вы также можете посмотреть следующие два видео на YouTube. Если вы действительно хотите понять, как UniFi делает такие вещи за кулисами, я рекомендую подписаться на его канал. https://youtu.be/5WffPoqUMYY https://youtu.be/atywxiep9Ck
 
 
 
#9
22.09.2024 21:03:00
Большое спасибо за ваше объяснение. Я пытаюсь понять, как работает DNS, когда включен блокировщик рекламы UniFi, но не могу разобраться. DNS-запросы от устройств IoT теперь перенаправляются на 203.0.113.2, но это IP-алиас для шлюза 192.168.3.1 или что? Я нашел интересную тему на Reddit, обсуждающую использование сети 203.0.113.0/24. Проблема безопасности сети 203.0.113.0/24 Chain DNSFILTER (2 ссылки)  
num pkts bytes target prot opt in out source destination  
1 0 0 DNAT tcp -- * * 192.168.3.0/26 0.0.0.0/0 tcp dpt:53 to:203.0.113.2:53  
2 0 0 DNAT udp -- * * 192.168.3.0/26 0.0.0.0/0 udp dpt:53 to:203.0.113.2:53
 
 
 
#10
22.09.2024 19:50:00
Да, UniFi для блокировки использует DNAT на заднем плане. Ваши клиенты всё равно будут считать, что общаются со своими назначенными DNS-серверами, но на самом деле их DNS-трафик будет идти на IP-шлюза вашего VLAN. Очевидно, есть обходные пути для клиентов, такие как DoH/DoT, но это сработает для DNS-трафика на порту 53. Ваш DNS Shield — это от основного шлюза к вашему DNS-провайдеру, но UDM обрабатывает DNS-запросы для клиентов на заданных VLAN. Краткая версия? Включите блокировку рекламы UniFi, и вы получите ожидаемый результат. DNS Shield является optional и используется для всего шлюза. Насчет этого не будет никакой разницы, включен он или нет. Это всё прозрачно для клиентских устройств.
 
 
 
#11
22.09.2024 19:42:00
Если я включу блокировку рекламы для VLAN IoT, будут ли использоваться серверы DoH, выбранные в DNS Shield, или что? В таком случае это отличное решение проблем с жестко закодированным DNS в устройствах IoT.
 
 
 
#12
22.09.2024 19:18:00
Если вы включите блокировку рекламы UniFi, это будет сделано автоматически, и клиентские устройства все равно будут думать, что они обращаются к своим основным DNS-серверам.
 
 
 
#13
22.09.2024 18:59:00
Отличное видео на YouTube, которое поможет вам понять, что происходит, когда вы настраиваете запись DNAT для перенаправления запросов DNS, и почему dig не дает ожидаемого результата. Перенаправление DNS-запроса клиента.
 
 
 
#14
19.03.2025 06:37:00
Отличное видео на YouTube, объясняющее, почему вам также может понадобиться запись Masquerade NAT при использовании внешнего DNS, но не при перенаправлении DNS-запросов от IoT-устройств к шлюзу. Интересная задача по Masquerade NAT.
 
 
 
Страницы: 1
Читают тему (гостей: 1)