Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1
RSS
Как предотвратить обход Open DNS с помощью USG?, UniFi Network
 
#1
09.02.2017 23:58:00
Как можно предотвратить обход Open DNS с помощью Unifi Security Gateway без использования SSH? Здесь есть тема, где это делают через SSH, но я никогда с ним не работал. Интересуюсь, можно ли сделать это через Unifi Controller версии 5.3.8. Я пытался сделать так, но ничего не произошло — всё равно получается обойти Open DNS, используя другой сервер. К тому же я совсем новичок в сетях. Любая помощь будет очень полезна!
 
 
 
#2
12.01.2019 03:53:00
Привет, эти настройки у меня перестали работать, не знаю, как давно это произошло. Интересно, есть ли у кого-то еще такая же проблема? Похоже, что я могу обойти сервер OpenDNS, используя IP-серверы Google: 8.8.8.8 и 4.4.4.4.
 
 
 
#3
30.07.2018 00:09:00
Только что оставил это как предложение по улучшению, пожалуйста, проголосуйте: https://community.ui.com/feature-requests/58e571af-cf02-470e-9d60-f8a2cd287359
 
 
 
#4
23.06.2018 05:59:00
Я использовал это, и всё работает. У меня есть пользователи, которые обращаются к внутреннему DNS, а он уже делает переадресацию на OpenDNS, но в правилах файрвола у меня прописаны IP-адреса OpenDNS.
 
 
 
#5
05.06.2018 18:20:00
Дело совсем не в этом. Это просто глупая машина — единицы и нули. Всё должно быть точно и правильно, иначе никакого эффекта не будет. Она не умеет учиться, не умеет предсказывать, она хороша ровно настолько, насколько хороша её инструкция. Это касается любой технологии, за исключением тех, о которых я ничего не знаю, например, ИИ.
 
 
 
#6
03.08.2017 21:16:00
Я действительно сделал принудительное назначение, как указано в моём комментарии выше. Без этого файла DNS, похоже, настроены так, как они установлены в VLAN, поскольку OpenDNS отвечает соответственно. Но с этим файлом я понятия не имею, куда указывают DNS, но уж точно не на OpenDNS.
 
 
 
#7
03.08.2017 21:12:00
На самом деле, файл должно было загрузиться, потому что когда я сохраняю файл и принудительно обновляю настройки USG, кажется, что мои DNS-серверы совсем не те, что указаны для моего VLAN. То есть, запросы вообще не идут через OpenDNS. Кто-нибудь знает, что я могу делать не так?
 
 
 
#8
03.08.2017 21:04:00
Ты перепрошивал USG? Все проблемы с конфигурационным файлом будут записаны в server.log на контроллере.
 
 
 
#9
03.08.2017 20:23:00
Я сделал ровно то же, что и ты, но настройки, похоже, никак не влияют. Я перезагрузил контроллер после изменения файла config.gateway.json, но всё равно ничего не работает. Есть способ проверить, что файл действительно подхватывается?
 
 
 
#10
10.04.2017 11:25:00
Я пытаюсь сделать что-то похожее, но сталкиваюсь с трудностями. У меня в локальной сети работает кэширующий сервер с форвардингом. Поэтому у меня есть одно правило, которое разрешает этому серверу (по группе IP-адресов и группе портов) выход к DNS Google (группа IP с 8.8.8.8 и 8.8.4.4, и группа портов). Второе правило блокирует весь трафик на порт 53 из LAN NETv4. Однако оба правила на WAN OUT, похоже, полностью убивают разрешение DNS.
 
 
 
#11
20.03.2017 22:29:00
Похоже, я разобрался. Я настроил файл config.gateway.json с такой конфигурацией, но ни одного правила через UI не ставил. Пока всё работает. Я попробовал вручную сменить DNS на устройстве и зайти на сайт, который должен был блокироваться — и сайт действительно заблокировался.  
{
 "service": {
   "nat": {
     "rule": {
       "1": {
         "description": "DNS Redirect",
         "destination": {
           "address": "!10.0.4.1",
           "port": "53"
         },
         "inbound-interface": "eth1.40",
         "inside-address": {
           "address": "10.0.4.1"
         },
         "log": "disable",
         "protocol": "tcp_udp",
         "type": "destination"
       }
     }
   }
 }
}
 
 
 
#12
20.03.2017 16:09:00
Я в замешательстве. Хочу сделать то же, что и автор поста, но боюсь что-то менять — вдруг меня совсем заблокирует. В основном хочу запретить определённому VLAN менять настройки DNS. Я ещё не вносил никаких изменений в фаервол, так что если кто-то может помочь с пошаговой инструкцией, был бы очень признателен. У меня уже настроен VLAN с использованием OpenDNS, а также динамический DNS для обновления моего IP в OpenDNS. Если это важно, мой VLAN — 50, шлюз и подсеть 10.0.4.1/24 для этого VLAN, и я уже создал группу адресов, но не уверен, как дальше всё правильно сконфигурировать. Подскажите, пожалуйста, какие правила добавить в фаервол и что должно быть в файле config.gateway.json?
 
 
 
Страницы: 1
Читают тему (гостей: 1)