Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1
RSS
Проблемы с правилами брандмауэра *Решено*, UniFi Network
 
#1
08.05.2025 19:20:00
У меня возникли проблемы с тем, чтобы разрешить гостевой Wi-Fi зону получить доступ к моему PiHole (192.168.0.250), который находится в зоне по умолчанию. Сейчас у меня есть правило, которое разрешает моему основному ПК (192.168.0.148) в зоне по умолчанию доступ к гостевой зоне (Penny's Wifi) с разрешенным обратным трафиком. Это правило работает отлично, я могу управлять устройствами в гостевой зоне. Я думал, что скопирую это правило и просто изменю IP-адреса, чтобы соответствовали моему PiHole, вместо моего основного ПК, но по какой-то причине это не работает. Я пробовал менять состояния на все, но это не помогло. Все, что пытается обратиться к PiHole из сети Penny's Wifi, блокируется последним правилом на этой картинке. Я не знаю, что еще можно попробовать, даже перезагружал, просто на всякий случай.
 
 
 
#2
09.05.2025 15:20:00
Ну что, я тут поковырялся… менял разные настройки и всё такое. Трафик больше не блокируется этим правилом и доходит до Pi-Hole… Ура. Кстати, трафик от Pi-Hole к Wi-Fi Пенни всё ещё не работает. Есть опция "Auto Allow Return Traffic", которая создаёт правило брандмауэра, идентичное тому, что я сделал, только она позволяет только возвратный трафик состояния, а не всё подряд. Не помогло.

Так что я провел тестирование с Pi-Hole (192.168.0.250), зашел по SSH и попробовал пинговать шлюз этой подсети 192.168.1.1, работает. Но пинговать что-либо еще в этой подсети не получается. Сейчас правила выглядят так, я включил другие пару правил, потому что они работают точно так, как надо, я могу пинговать с 192.168.0.148 в любую точку Wi-Fi Пенни.
 
 
 
#3
09.05.2025 08:36:00
Понял, теперь вижу. Непонятно только, как новая система FW обрабатывает входящий и исходящий трафик. Пока не было времени почитать про нее или покопаться в настройках. Старая система требовала отдельной политики для входящего и исходящего трафика. А с новой… 🤷‍♂️ Придется потратить время, чтобы забыть то, что, как мне кажется, я знаю.
 
 
 
#4
08.05.2025 20:13:00
У меня не отмечено использование изолированной сетевой коробки.
 
 
 
#5
08.05.2025 20:10:00
У тебя сеть изолирована в настройках? По умолчанию между VLAN-ами ничего не блокируется.
 
 
 
#6
08.05.2025 20:08:00
В общем, я просто пытаюсь пропинговать Pi-hole с Wi-Fi Пенни, но безуспешно.
 
 
 
#7
08.05.2025 19:59:00
Кажется, тебе нужны правила переадресации DNS или NAT, чтобы перенаправлять DNS-запросы. Иначе пользователи смогут изменить свой DNS, чтобы обойти твой Pi-Hole.
 
 
 
#8
08.05.2025 19:58:00
По-моему, второе правило там точно есть, оно четвертое в списке.
 
 
 
#9
08.05.2025 19:56:00
Pihole видит Wi-Fi Пенни из-за правила, но Wi-Fi Пенни не видит Pihole из-за правила блокировки. Я не эксперт по правилам FW, но либо нужно поменять направление правила Pihole -> Wi-Fi Пенни, чтобы стало Wi-Fi Пенни -> Pihole, либо оставить существующее правило и добавить ещё одно, которое будет разрешать Wi-Fi Пенни -> Pihole. В старом интерфейсе FW я делал это одним правилом IN и другим OUT. Без понятия, как это сделать в новом интерфейсе FW. У меня с ним пока нет опыта.
 
 
 
#10
10.05.2025 19:25:00
🎉
 
 
 
#11
10.05.2025 18:30:00
Ну что, всем привет! Я разобрался. После того, как я решил начальную проблему, связанную с тем, что трафик не разрешен, и меня заблокировало. (До сих пор не знаю точно, что я сделал, чтобы это исправить. Если бы пришлось гадать, то, наверное, порядок правил. Порядок меняется со страницы "все политики" по сравнению со страницей "Internal x Internal", очень странное поведение. Хотя казалось, что правило разрешения стоит выше правила блокировки, на самом деле это не так.) Затем я сделал захват пакетов, чтобы посмотреть на трафик. DNS-запросы проходили, но ничего не подтверждалось. Оказалось, маска подсети на pihole была /23 вместо /24. После исправления этого, я смог пинговать с pihole к Wi-Fi Penny. DNS всё равно не работал. Но хотя бы с этими знаниями я понял, что проблема в чём-то ещё, настроенном с pihole. Там есть "экспертная" настройка в разделе DNS, которая была установлена в значение "Разрешать только локальные запросы". Как только я это изменил, бац, DNS заработал. Спасибо всем за помощь.
 
 
 
#12
10.05.2025 17:56:00
Что показывает новая страница с анализом трафика в разделе "Insights"? Она была добавлена недавно в сети 114 или 120 и дает более четкое представление о том, как работают правила.
 
 
 
#13
10.05.2025 15:44:00
Вот полный список правил, спасибо за помощь в этом!
 
 
 
Страницы: 1
Читают тему (гостей: 1)