Настройка Ideco NGFW для фильтрации трафика с помощью облачного сервиса SkyDNS
Чтобы настроить интеграцию со SkyDNS, выполните действия:
1. Перейдите в раздел Сервисы -> DNS -> Внешние DNS-серверы и нажмите Добавить.
2. Выберите пункт Задать вручную и в поле DNS-сервер введите IP-адрес DNS-сервера SkyDNS (193.58.251.251
) и нажмите Сохранить:
![](https://ideco.gitbook.io/~gitbook/image?url=https:%2F%2F285579430-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252Fkz3poOSHFsgVhXV4y4w4%252Fuploads%252Fgit-blob-d44d1caabc99d5aac0fd39667f7b607009336d20%252Fskydns.png%3Falt=media&width=768&dpr=4&quality=100&sign=5e16eb876885804cbde9b6e6d5cacaad056ab462754724666cbcb8e9ced96c56)
3. В настройках DNS включите опцию Перехват пользовательских DNS-запросов для запрета обращения к другим DNS-серверам (если фильтрация через SkyDNS обязательна для всей сети):
![](https://ideco.gitbook.io/~gitbook/image?url=https:%2F%2F285579430-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252Fkz3poOSHFsgVhXV4y4w4%252Fuploads%252Fgit-blob-e5f0a8976d9c5d280ba70af297feccb426e6766c%252Fskydns1.png%3Falt=media&width=768&dpr=4&quality=100&sign=61d6a1496a4eabe34d6edc544746f58dcd6179fd9ce7664b157f55d17a00f4cd)
4. Если внутри локальной сети или внутри сети провайдера есть внутренняя DNS-зона, не обслуживаемая внешними DNS-серверами (например, домен Active Directory), укажите ее в разделе DNS -> Forward-зоны.
5. Перейдите в раздел Правила трафика -> Контент-фильтр и создайте правило запрета прямого обращения к сайтам по IP-адресу:
![](https://ideco.gitbook.io/~gitbook/image?url=https:%2F%2F285579430-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252Fkz3poOSHFsgVhXV4y4w4%252Fuploads%252Fgit-blob-1f5a753c62850e97469d8d4217f7335a660367c4%252Fskydns2.png%3Falt=media&width=768&dpr=4&quality=100&sign=dc94bf5d08d483361952237b55439fc5e59fe1c1cfb00be4648e438dab351d02)
6. Пропишите IP-адрес локального интерфейса Ideco UTM в качестве единственного DNS-сервера в сетевых настройках на всех устройствах, которые требуется защитить.
Пользователи, получающие адреса автоматически через DHCP-сервер Ideco UTM или подключающиеся по VPN, получают нужные настройки автоматически.
Чтобы исключить некоторые компьютеры из фильтрации, пропишите на них другой внешний DNS-сервер (например, 8.8.8.8) и не включайте Перехват пользовательских DNS-запросов.
7. При наличии у Ideco UTM статического белого IP-адреса привяжите этот адрес к аккаунту SkyDNS в личном кабинете на сайте SkyDNS (в разделе Настройки -> Сети).