USG Pro 4 Блокировка сайтов

USG Pro 4 Блокировка сайтов, UniFi Network

OnTheGrind

Guest

08.12.2016 16:58:00

Привет, ребята!

Я пытаюсь использовать правила файрвола USG Pro 4, чтобы блокировать исходящие соединения.
Настройки -> Маршрутизация и файрвол -> Файрвол -> Правила -> LAN Out -> Создать правило.

Когда я пытаюсь сохранить группу с несколькими адресами, некоторые из них подчёркиваются красным. Похоже, что можно использовать только IPv4-адреса.

Однако это создаёт проблему, потому что мне не нужно блокировать целый сайт, а только поддомен. Хотя sub.domain.com и domain.com резолвятся в один и тот же IP-адрес.

По сути, я пытаюсь добавить телеметрию из списка spy-bot anti-beacon и списки u-block origin с рекламой, которые, конечно, содержат много адресов, а не IP.

Я мог бы разрешить все доменные имена, но, как я сказал, это заблокирует весь домен, а не только поддомены. Например, я не хочу блокировать skype.com, но хочу блокировать ui.skype.com.

Кто-нибудь может подсказать, есть ли другой способ добавить FQDN с поддоменами?

Я пытаюсь заблокировать это на файрволе, потому что некоторые обновления Microsoft чистят hosts-файл. Кроме того, Microsoft Edge и другие MS-приложения на самом деле обходят hosts-файл через %WINDIR%\system32\dnsapi.dll. DNSAPI.DLL содержит жёстко прописанные адреса и используется Microsoft, чтобы обойти как HOSTS, так и правила файрвола.

Вот, например, список хостов из spy-bot anti-beacon:

# Начало записей, вставленных Spybot Anti-Beacon для Windows 10 Optional
0.0.0.0 a.ads1.msn.com
0.0.0.0 a.ads2.msads.net
0.0.0.0 a.ads2.msn.com
0.0.0.0 a.rad.msn.com
0.0.0.0 a-0001.a-msedge.net
0.0.0.0 a-0002.a-msedge.net
0.0.0.0 a-0003.a-msedge.net
0.0.0.0 a-0004.a-msedge.net
0.0.0.0 a-0005.a-msedge.net
0.0.0.0 a-0006.a-msedge.net
0.0.0.0 a-0007.a-msedge.net
0.0.0.0 a-0008.a-msedge.net
0.0.0.0 a-0009.a-msedge.net
0.0.0.0 ac3.msn.com
0.0.0.0 ad.doubleclick.net
0.0.0.0 adnexus.net
0.0.0.0 adnxs.com
0.0.0.0 ads.msn.com
0.0.0.0 ads1.msads.net
0.0.0.0 ads1.msn.com
0.0.0.0 aidps.atdmt.com
0.0.0.0 aka-cdn-ns.adtech.de
0.0.0.0 a-msedge.net
0.0.0.0 apps.skype.com
0.0.0.0 az361816.vo.msecnd.net
0.0.0.0 az512334.vo.msecnd.net
0.0.0.0 b.ads1.msn.com
0.0.0.0 b.ads2.msads.net
0.0.0.0 b.rad.msn.com
0.0.0.0 bs.serving-sys.com
0.0.0.0 c.atdmt.com
0.0.0.0 c.msn.com
0.0.0.0 cdn.atdmt.com
0.0.0.0 cds26.ams9.msecn.net
0.0.0.0 compatexchange.cloudapp.net
0.0.0.0 corpext.msitadfs.glbdns2.microsoft.com
0.0.0.0 cs1.wpc.v0cdn.net
0.0.0.0 db3aqu.atdmt.com
0.0.0.0 ec.atdmt.com
0.0.0.0 fe2.update.microsoft.com.akadns.net
0.0.0.0 feedback.microsoft-hohm.com
0.0.0.0 flex.msn.com
0.0.0.0 g.msn.com
0.0.0.0 h1.msn.com
0.0.0.0 lb1.www.ms.akadns.net
0.0.0.0 live.rads.msn.com
0.0.0.0 m.adnxs.com
0.0.0.0 m.hotmail.com
0.0.0.0 msedge.net
0.0.0.0 msftncsi.com
0.0.0.0 msnbot-65-55-108-23.search.msn.com
0.0.0.0 msntest.serving-sys.com
0.0.0.0 pre.footprintpredict.com
0.0.0.0 preview.msn.com
0.0.0.0 pricelist.skype.com
0.0.0.0 rad.live.com
0.0.0.0 rad.msn.com
0.0.0.0 s.gateway.messenger.live.com
0.0.0.0 s0.2mdn.net
0.0.0.0 schemas.microsoft.akadns.net
0.0.0.0 secure.adnxs.com
0.0.0.0 secure.flashtalking.com
0.0.0.0 sls.update.microsoft.com.akadns.net
0.0.0.0 static.2mdn.net
0.0.0.0 statsfe1.ws.microsoft.com
0.0.0.0 statsfe2.update.microsoft.com.akadns.net
0.0.0.0 statsfe2.ws.microsoft.com
0.0.0.0 survey.watson.microsoft.com
0.0.0.0 view.atdmt.com
0.0.0.0 www.msftncsi.com

# Конец записей, вставленных Spybot Anti-Beacon для Windows 10 Optional

# Начало записей, вставленных Spybot Anti-Beacon для Windows 10
0.0.0.0 choice.microsoft.com
0.0.0.0 choice.microsoft.com.nstac.net
0.0.0.0 df.telemetry.microsoft.com
0.0.0.0 oca.telemetry.microsoft.com
0.0.0.0 oca.telemetry.microsoft.com.nsatc.net
0.0.0.0 redir.metaservices.microsoft.com
0.0.0.0 reports.wes.df.telemetry.microsoft.com
0.0.0.0 services.wes.df.telemetry.microsoft.com
0.0.0.0 settings-sandbox.data.microsoft.com
0.0.0.0 settings-win.data.microsoft.com
0.0.0.0 sqm.df.telemetry.microsoft.com
0.0.0.0 sqm.telemetry.microsoft.com
0.0.0.0 sqm.telemetry.microsoft.com.nsatc.net
0.0.0.0 telecommand.telemetry.microsoft.com
0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net
0.0.0.0 telemetry.appex.bing.net
0.0.0.0 telemetry.microsoft.com
0.0.0.0 telemetry.urs.microsoft.com
0.0.0.0 vortex-sandbox.data.microsoft.com
0.0.0.0 vortex-win.data.microsoft.com
0.0.0.0 vortex.data.microsoft.com
0.0.0.0 watson.telemetry.microsoft.com
0.0.0.0 watson.telemetry.microsoft.com.nsatc.net
0.0.0.0 watson.ppe.telemetry.microsoft.com
0.0.0.0 wes.df.telemetry.microsoft.com
0.0.0.0 vortex-bn2.metron.live.com.nsatc.net
0.0.0.0 vortex-cy2.metron.live.com.nsatc.net
0.0.0.0 watson.live.com
0.0.0.0 watson.microsoft.com
0.0.0.0 feedback.search.microsoft.com
0.0.0.0 feedback.windows.com
0.0.0.0 corp.sts.microsoft.com
0.0.0.0 diagnostics.support.microsoft.com
0.0.0.0 i1.services.social.microsoft.com
0.0.0.0 i1.services.social.microsoft.com.nsatc.net
0.0.0.0 vortex-bn2.metron.live.com.nsatc.net
0.0.0.0 vortex-cy2.metron.live.com.nsatc.net

# Конец записей, вставленных Spybot Anti-Beacon для Windows 10

0.0.0.0 cache.datamart.windows.com
0.0.0.0 choice.microsoft.com.nsatc.net
0.0.0.0 db3wns2011111.wns.windows.com
0.0.0.0 fe3.delivery.dsp.mp.microsoft.com.nsatc.net
0.0.0.0 msnbot-207-46-194-33.search.msn.com
0.0.0.0 schemas.microsoft.akadns.net
0.0.0.0 settings.data.microsof.com
0.0.0.0 sO.2mdn.net
0.0.0.0 spynet2.microsoft.com
0.0.0.0 spynetalt.microsoft.com
0.0.0.0 ssw.live.com
0.0.0.0 telecommand.telemetry.microsoft.com.nsat-c.net
0.0.0.0 telemetry.appex.bing.net:443
0.0.0.0 ui.skype.com
0.0.0.0 v10.vortex-win.data.microsoft.com
0.0.0.0 win10.ipv6.microsoft.com

Спасибо и всего наилучшего,
Grind.

JasonJoel Guest	#2 12.05.2017 20:22:00 Я никогда не говорил, что БЕСПЛАТНО... Но и другие хорошие решения для фильтрации контента (например, untangle) тоже не бесплатные.

fvancauw Guest	#3 12.05.2017 19:46:00 OpenDNS теперь продукт Cisco и больше не бесплатен... 🙁

ilkevinli Guest	#4 13.05.2017 11:30:00 Компания UBNT уже заявляла, что добавит систему фильтрации контента, которая будет «лучше, чем Squid», хотя точной даты пока не объявлено.

fvancauw

Guest

13.05.2017 08:25:00

Я работаю в нескольких начальных школах, и на такие вещи бюджета нет. К тому же я использую ubnt — очень профессиональный продукт по приемлемой цене. Фильтрация контента для ubnt — это легко, может, если мы достаточно громко закричим? 😀 Это снова станет одним из главных аргументов для покупки оборудования ubnt.

ahpsi

Guest

12.05.2017 20:22:00

Из-за ограничений, которые накладывал OpenDNS, когда он был бесплатным (по части максимального количества заблокированных сайтов), я перешёл на Pi-Hole. Raspberry Pi 3, POE HAT и многоцветный светодиод для красоты — получился недорогой и эффектный DNS-сервер с настраиваемыми списками блокировок. Я блокирую не только рекламу, но и сайты с вредоносным ПО. Работает просто отлично.

JasonJoel

Guest

12.05.2017 14:41:00

UBNT определённо рано или поздно придётся добавить полноценное решение для фильтрации контента — практически всем домашним пользователям и бизнесу это нужно. Может, это появится в USG-XG в будущем? Кто знает? Сегодня на USG это сделать — огромная мука, и я просто не рекомендую — оно того не стоит, когда на рынке есть другие продукты, которые делают это из коробки. Я советую людям использовать pfSense или Untangle (мне больше нравится второй) для фильтрации контента. OpenDNS может подойти некоторым, если не хочется менять продукты или железо и есть возможность гибко настроить DNS. Джейсон

fvancauw Guest	#8 12.05.2017 09:48:00 Я также хочу графический интерфейс для блокировки сайтов. В бизнесе, образовании и домашней среде это просто необходимо.

OnTheGrind Guest	#9 24.02.2017 17:51:00 Никто так и не ответил. Я знаю, что можно добавить их по одному, но, как вы и сказали, это заняло бы вечность. Мне было интересно, можно ли импортировать список.

Читают тему (гостей: 1)