Добавить в корзинуПозвонить
Найти в Дзене
ROUTER.RU

Изоляция хоста от интернета на Ubiquiti Dream Machine Pro без VLAN

"Можно ли на Dream Machine Pro без добавления VLAN изолировать хост от интернета, но при этом оставить доступ к локальной сети?" Да, на UDM Pro можно запретить доступ конкретному устройству в интернет, но оставить ему доступ к локальной сети, используя правила межсетевого экрана (Firewall Rules). Если хотите заблокировать не весь интернет, а только определенные сервисы (например, соцсети или облачные хранилища): ✅ Можно изолировать устройство от интернета без VLAN, используя Firewall Rules (LAN OUT → Drop to WAN).
✅ Локальная сеть при этом останется доступной.
✅ Для более гибкой настройки можно использовать DPI для блокировки отдельных сервисов.
Оглавление

Запрос клиента:

"Можно ли на Dream Machine Pro без добавления VLAN изолировать хост от интернета, но при этом оставить доступ к локальной сети?"

Решение через правила межсетевого экрана (Firewall)

Да, на UDM Pro можно запретить доступ конкретному устройству в интернет, но оставить ему доступ к локальной сети, используя правила межсетевого экрана (Firewall Rules).

Настройка блокировки интернета через UniFi Network

  1. Перейдите в UniFi Network Controller:Откройте UniFi Network в веб-интерфейсе UDM Pro.
  2. Определите IP-адрес или MAC-адрес хоста:В Clients найдите нужное устройство и зафиксируйте его IP или MAC.
    Если устройство получает
    динамический IP через DHCP, лучше назначить ему статический IP в настройках DHCP Reservations (Settings → Networks → DHCP).
  3. Создайте правило в межсетевом экране:Перейдите в Settings → Firewall & Security.
    Выберите вкладку
    Firewall Rules → LAN OUT (чтобы запретить выход в интернет).

    Нажмите
    Create New Rule и задайте параметры:Name: Block Internet for [Device Name]
    Rule Applied: Before Predefined Rules
    Action:
    Drop

    Source:IP Address:
    [Статический IP-адрес устройства]
    или
    MAC Address: [MAC-адрес устройства]

    Destination:Internet (WAN)
    Protocol:
    Any
  4. Сохраните правило и примените изменения.

Проверка работы

  • Подключитесь к сети с заблокированного устройства и попробуйте открыть веб-страницы или запустить интернет-сервисы.
  • Проверьте, что устройство продолжает видеть другие локальные ресурсы (общие папки, принтеры, камеры и т. д.).

Дополнительные возможности

Альтернативный способ через DPI (Deep Packet Inspection)

Если хотите заблокировать не весь интернет, а только определенные сервисы (например, соцсети или облачные хранилища):

  • Settings → Traffic Management → Add Rule
  • Source: IP или MAC устройства
  • Destination Category: Выберите "Social Networks", "Streaming", "Cloud Storage" и т. д.
  • Action: Block

Вывод

Можно изолировать устройство от интернета без VLAN, используя Firewall Rules (LAN OUT → Drop to WAN).
Локальная сеть при этом останется доступной.
Для более гибкой настройки можно использовать DPI для блокировки отдельных сервисов.