Правило блокировки в Википедии

Правило блокировки в Википедии, UniFi Network

raymondclark Guest	#1 06.04.2025 19:08:00 Пытаюсь заблокировать все устройства от доступа к Wikipedia. Настроил это правило, но не работает. Наверное, перепутал что-то? Буду благодарен за любые подсказки.

leonardogyn

Guest

07.04.2025 10:23:00

Не в том дело, что лень инициализировать содержимое ipset. Может, просто невозможно сделать это полностью

Если вы создаете правило блокировки netflix.com, который этот точный адрес мог бы и быть предварительно заполнен, но не заполнен, то правило фактически будет анализировать (и блокировать) все поддомены, такие как login.netflix.com, something.netflix.com, a1b2c3.netflix.com… и просто нет способа узнать все поддомены, которые содержатся в домене и которые пользователь будет использовать/вызывать.

Поэтому большая работа (умно) выполняется DNS-разрешением и ipset-наборами. Даже если UI мог бы предварительно заполнить набор, он бы включал только указанное точное имя хоста, которое может меняться время от времени, потому что много чего используют CDN, и поскольку это не заблокировало бы весь спектр имен хостов, это бы мало помогло.

Я бы сказал, что использование dnsmasq и ipset — это отличное решение с почти атомарными обновлениями ipset-наборов и работает абсолютно нормально. По-настоящему нет необходимости предварительно заполнять что-либо, потому что это бы очень мало (если вообще) помогло.

И все это действительно требует, чтобы клиенты использовали UniFi Gateway в качестве DNS-сервера, потому что, благодаря использованию CDN, IP-адреса могут меняться в процессе работы. Если клиент А, который использует ваш UniFi Gateway в качестве DNS, разрешил заблокированный домен в 200.200.200.200, этот IP-адрес попадет в ipset-набор и будет заблокирован. Если клиент Б использует Google DNS и разрешает заблокированный домен в 201.201.201.201, и UniFi Gateway об этом ничего не знает, ipset-набор не будет заполнен и доступ будет предоставлен.

Для надежной работы блокировки доменов на UniFi Gateway, действительно очень важно/обязательно, чтобы клиенты использовали UniFi Gateway в качестве DNS-сервера.

travis.vitek

Guest

07.04.2025 04:08:00

Ты же демонстрировал ленивую загрузку адресов Netflix в предыдущем посте? Ты показываешь пустой ipset до и непустой ipset после попытки зайти на netflix.com. Похоже, теперь я понимаю, зачем нужен шлюз DNS... если обновление ipset происходит по результату DNS-запроса клиента, и клиент никогда не делает DNS-запрос к шлюзу, то ipset останется пустым навсегда.

travis.vitek

Guest

07.04.2025 03:18:00

Итак, вот как, я думаю, это должно работать... Шлюз лениво инициализирует ipset с адресами из DNS-запроса, а брандмауэр использует этот ipset для сопоставления. В большинстве случаев клиентам не нужно использовать шлюз в качестве DNS-сервера, чтобы это работало. Одной проблемной ситуацией будет случай, если клиентский и шлюзовой ресолверы получат разные адреса, и клиент использует адрес, которого нет в ipset политики.

raymondclark

Guest

06.04.2025 22:17:00

У меня все устройства настроены на использование DHCP, и я думаю, что они используют шлюз для DNS. Этот ПК, который я использую, временно использовал 1.1.1.1. СПАСИБО. Это позволило правилу вступить в силу, и оно заблокировано, как я и хотел.

travis.vitek Guest	#6 06.04.2025 20:50:00 Несколько человек тут сказали, что для нормальной работы нужно, чтобы клиентские устройства использовали DNS шлюза, но я сам это не проверял, и это не обязательно должно быть требованием. Можно ли клиентским устройствам использовать что-то другое, кроме шлюза, для DNS?

Читают тему (гостей: 1)