Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1 2 След.
RSS
Вопрос по фильтрации Geo IP, UniFi Network
 
#1
10.01.2018 01:08:00
Использую версию 5.7.12. Быстрый вопрос: если я в geo ip фильтре разрешу только Соединённые Штаты, это блокирует все остальные страны? Спасибо <3
 
 
 
#2
30.03.2021 12:53:00
Я использую почти полный IPS (34 из 35) и разрешённый список GEO-фильтрации. Кроме того, что в виде карты вместо "Разрешённые страны" отображается "Заблокированные страны", всё, похоже, работает правильно.
 
 
 
#3
29.03.2021 17:41:00
Эта функция всё ещё глючит? Я использую IDS/IPS, но хотел бы заблокировать все страны, кроме США. Придётся ли мне вручную добавлять каждую страну и ставить отказ в доступе? Или можно просто разрешить доступ для США?
 
 
 
#4
30.08.2020 15:50:00
Я не думаю, что это работает для UDM Pro. Каждый раз, когда я захожу в классический режим и ставлю правило, чтобы разрешить только трафик из США и в США (то есть и входящий, и исходящий), у меня всё равно получается получить доступ к IP-адресам вне США. Я вижу запись в логе после включения этого правила, которая говорит, что процесс, отвечающий за этот фильтр, по какой-то причине прекращает работать. Возможно, я ошибаюсь... 30 августа 15:48:36 ubnt user.info ubios-udapi-server: ubios-udapi-server: Получено событие выхода процесса geoipFiltering
 
 
 
#5
26.07.2020 16:02:00
Насколько я понимаю, это работает для контроллера версии 5.12.66: можно сначала поставить allow, потом выбрать US, потом set outgoing — и это ограничит трафик, который приходит внутрь. Обычно это используется, когда включены оба режима, например, когда хостили серверы. Когда я обновил CK до версии 5.13.29, оставалась только опция блокировки. А мы, наоборот, предпочитаем функцию allow, которая активно блокирует все подключения, кроме выбранных стран.
 
 
 
#6
07.05.2020 18:31:00
Это не имеет смысла. У меня все отлично работало при тестировании GeoIP. Какое у тебя устройство? Скорее всего, тебе лучше использовать IPS, а не GeoIP — хакеры знают, что можно обойти геоблокировки с помощью VPN.
 
 
 
#7
07.05.2020 18:21:00
Привет, у меня возникла проблема... Например, если я блокирую входящие подключения из США, то больше не могу пинговать 8.8.8.8 и заходить на сайты из США. Я не понимаю такого поведения, ведь я хочу заблокировать только входящие подключения, а не исходящие... Есть ли какое-то руководство или объяснение? Спасибо.
 
 
 
#8
09.01.2019 09:44:00
Мне бы тоже хотелось узнать, можно ли как-то фиксировать отключения соединений из-за фильтров geoip. Есть идеи?
 
 
 
#9
14.09.2018 19:46:00
Smart Queues выключены. USG перенаправляет трафик на порт 80 на HTTP-сервер в LAN. Попытки доступа отображаются в журнале этого сервера.
 
 
 
#10
14.09.2018 17:07:00
Отключены Smart Queues? Как вы это проверяете? Мне интересно.
 
 
 
#11
14.09.2018 16:53:00
В IPS сохраняются записи о попытках подключения. Например: Sep 14 12:37:59 f09fc21119d5 kernel: ALIEN BLOCK: IN=eth0 OUT= MAC=f0:9f:c2:11:19:d5:0c:86:10:29:cc:c2:08:00 src=176.119.7.18 DST=(Removed IP) LEN=40 TOS=0x00 PREC=0x00 TTL=243 ID=30738 PROTO=TCP SPT=59997 DPT=63021 WINDOW=1024 RES=0x00 SYN URGP=0

Почему в GeoIP не происходит (или нет такой опции) логирования попыток?
 
 
 
#12
10.09.2018 16:56:00
После настройки geoip-фильтрации для нескольких стран я заметил, что трафик от них всё равно приходит. Моя текущая конфигурация такая:

ubnt@usg# show geoip  
action block  
country-list CN,HK,KP,KR,SC  
lan-list eth1,eth2  
traffic-direction both  
wan-list eth0  

[edit] IDS/IPS отключён.
Версия USG 4.4.28.5118795  

Судя по всему, я не должен получать трафик на LAN от 111.230.41.189 (Пекин, CN), но, увы, он приходит. Есть идеи?
 
 
 
#13
27.04.2018 01:48:00
@masterdarken

Geo-IP не работает с невыгруженным трафиком — это просто этап разработки, на котором сейчас находится эта функция. Мы полностью планируем сделать её рабочей вместе с IDS/IPS и другими возможностями, которые отключают аппаратную выгрузку.
 
 
 
#14
27.04.2018 01:30:00
AdamD, похоже, твой совет оказался как раз к месту — ещё раз спасибо. С IDS/IPS в отключённом состоянии всё работает, как задумано. Не хочешь объяснить, почему их нельзя использовать одновременно? Я тестировал несколько конкретных приложений, среди них WeChat и ещё несколько в процессе разработки. WeChat сразу же активирует IPS, просто пытаясь подключиться к своему серверу входа, при этом IPS помечает серверы WeChat как хосты сетевого трояна. Я уже подтвердил, что это ложное срабатывание. Если бы это была реальная угроза и IPS блокировал атаку — было бы отлично, но стоит заметить, что ложные срабатывания могут сильно грузить ресурсы роутера. Трафик WeChat проходит через китайские серверы. Если я блокирую Китай, приложение WeChat не работает. Если разрешить Китай — приложение работает. Другие приложения в разработке не выдают предупреждений IPS, но были разрешены и заблокированы в соответствии с настройками для Великобритании и Южной Америки.

Overwatch. Разрешать только США и Китай недостаточно — всё равно не удастся подключиться к игровому серверу Overwatch. Это значит, что серверы Overwatch находятся не только в США или их IP зарегистрированы в других странах. Эту задачу я пока не решил, поэтому на данный момент отключил фильтрацию по гео-IP и оставил включённым IPS. В итоге хотелось бы научиться использовать оба механизма одновременно.
 
 
 
#15
21.04.2018 00:51:00
@masterdarken

Благодарю. Можешь предоставить мне конкретные данные по этому сайту для тестирования и рассказать о других методах, которые ты используешь? Я тоже хотел бы провести свои тесты и потом поделиться с вами всеми своими результатами.
 
 
 
#16
21.04.2018 00:46:00
Спасибо за разъяснение, AdamD. Я уверен, что мои ссылки действительно зарубежные, так как использую специальный сайт за границей, предназначенный для тестирования именно этой функции. Однако я не знал, что IDS/IPS нейтрализуют эффект блокировки по гео-IP, а у меня эти системы включены. Перепробую с учётом твоих советов и сообщу о результатах.
 
 
 
#17
20.04.2018 17:13:00
Эта функция на данный момент работает только с оффлоад-трафиком. Если вы выбрали умные очереди или IDS/IPS, то это отменит действие блокировки по geo-IP.

Ещё один момент, который стоит учитывать — наличие POP’ов в CDN.

@masterdarken, когда ты заходишь на эти зарубежные ссылки, ты уверен, что домен, который разрешаешь, — это IP из блока IP-адресов, используемых конкретной страной?

Имейте в виду, что фильтрация по geo-IP всё ещё в бета-версии и находится в активной разработке.
 
 
 
#18
20.04.2018 15:56:00
До сих пор нет ответа по этому поводу от unifi?
 
 
 
#19
08.04.2018 23:43:00
Возможно, теоретически. Если применить правила для блокировки США, вы всё равно сможете заходить на американские ссылки. Если применить правила, разрешающие доступ ТОЛЬКО из США, вы всё равно сможете заходить на зарубежные ссылки. Я не нашёл способа доказать, что эта функция действительно работает, сейчас это просто эффект плацебо.
 
 
 
#20
08.04.2018 14:25:00
Когда вы устанавливаете accept US, в USG настраивается следующее:
geoip {
   action accept-only
   country-list US
   lan-list eth1
   traffic-direction both
   wan-list eth0
}

Это означает, что в моём USG принимается только трафик из США и в США.

Если хотите посмотреть, что настроено в вашем USG, можете подключиться к нему по SSH и ввести show configuration, чтобы просмотреть конфигурацию, или перейти в режим настройки и ввести show geoip.
 
 
 
Страницы: 1 2 След.
Читают тему (гостей: 1)