Pfsense + squidguard

_if

@dvserg:

Фото правил FileAccessDeny покажите.

dr.gopher

_if

Expressions:
(./..(mp3|wav|avi|mp4|mpef4|ac3|aac|aac+|wma|flv|wmv|mov|f4v|webm|swf|mkv))|player|radio|flashvideo|shokware

artemvst

@dr.gopher:

_if

Expressions:
(./..(mp3|wav|avi|mp4|mpef4|ac3|aac|aac+|wma|flv|wmv|mov|f4v|webm|swf|mkv))|player|radio|flashvideo|shokware

Да ересь это все. Не поможет. Через анонимайзеры все будет ок.

_if

@dr.gopher:

_if

Expressions:
(./..(mp3|wav|avi|mp4|mpef4|ac3|aac|aac+|wma|flv|wmv|mov|f4v|webm|swf|mkv))|player|radio|flashvideo|shokware

Все равно не работает…Пускает на сайт,позволяет делать любые операции.

rubic

(.*.(mp3|wav|avi|mp4|mpef4|ac3|aac|aac+|wma|flv|wmv|mov|f4v|webm|swf|mkv)($|?))|player|radio|flashvideo|shokware

dvserg

Без времени еще попробуйте протестируйте.

dr.gopher

@artemvst:

@dr.gopher:

Expressions:
(./..(mp3|wav|avi|mp4|mpef4|ac3|aac|aac+|wma|flv|wmv|mov|f4v|webm|swf|mkv))|player|radio|flashvideo|shokware

Да ересь это все. Не поможет. Через анонимайзеры все будет ок.

Ну почемуже?
1. Закрываете возможность доступа по ip
2. Подгружаете блеклист www.shallalist.de/Downloads/shallalist.tar.gz
3. В блеклисе выбираете категории [blk_BL_anonvpn]  denny

И оочень трудно найти не забаненый анонимайзер.

_if

dr.gopher,благодарю за помощь!

Суть проблемы была в следующем.В разделе Services -> Proxy server не был настроен.Вот.. :)

Теперь задался вопросом.Возможно ли использовать в pfsense авторизацию логин <-> пароль,что бы резать посещаемость определенным пользователям по мимо глобальных правил?И возможно ли отгружать статистику траффика по пользователям(кто и где был\сколько выкачал,закачал)?

Спасибо за внимание!

dvserg

Если только по http, то все делается средствами Squid (авторизация) + LightSquid/Sarg
Если про все вообще - то CaptivePortal. Но общую статистику придется что-то на подобии http://forum.pfsense.org/index.php/topic,21394.0.html делать

Глобальные правила, кстати, на доступ к прокси не влияют.

zikfriddi

А кто-нибудь забивал в Expressions: русские слова? у меня почему-то при добавлении их, отваливается все правило. Банит только домены целиком(которые перечислены в Domains list )

dvserg

А не нужно их туда забивать. Нужно использовать коды вида %хх ( q=%D1%81%D0%B2%D0%B5%D1%82 ).

zikfriddi

Я предполагал что там пишуться теги, которые он потом будет банить! Или я не прав? как мне забанить допустим слово "какашка"?:)Вот если туда вписать "kakashka" правило будет срабатывать!

dvserg

Нет, это URL фильтр. Вам нужен Dansguardian.

zikfriddi

А эта как я понял контент фильтрует!Спасибо, с этим разобрался:). А проблем со временем не было.Я имею ввиду в проксифильтре? У меня стоит время для работы правил (8-19),а они работают все время?

artemvst

@dr.gopher:

@artemvst:

@dr.gopher:

Expressions:
(./..(mp3|wav|avi|mp4|mpef4|ac3|aac|aac+|wma|flv|wmv|mov|f4v|webm|swf|mkv))|player|radio|flashvideo|shokware

Да ересь это все. Не поможет. Через анонимайзеры все будет ок.

Ну почемуже?
1. Закрываете возможность доступа по ip
2. Подгружаете блеклист www.shallalist.de/Downloads/shallalist.tar.gz
3. В блеклисе выбираете категории [blk_BL_anonvpn]   denny

И оочень трудно найти не забаненый анонимайзер.

Так и есть. НО - все равно можно, настойчивый всегда найдет. Учитывая что их по сотне в день новых делают - на 10-й странице гугла точно будет.

dr.gopher

@artemvst:

НО - все равно можно, настойчивый всегда найдет. Учитывая что их по сотне в день новых делают - на 10-й странице гугла точно будет.

Тогда можно вообще ничего не делать! Один фиг когда то умрем.  ;)

dvserg

@dr.gopher:

@artemvst:

И оочень трудно найти не забаненый анонимайзер.

Так и есть. НО - все равно можно, настойчивый всегда найдет. Учитывая что их по сотне в день новых делают - на 10-й странице гугла точно будет.

Решения "настроил и отдыхай" для фильтрации не существует.
Вы можете запретить все и открывать по требованию, либо разрешить все и ограничить известные ресурсы.
В любом случае это постоянная работа администратора.

Я обычно всем предлагаю последний вариант + постоянный мониторинг популярных сайтов (отчеты LS/Sarg). И не нужно стараться контралировать все (это параноя - сам прошел). Если сотрудника пару раз сходил на какой-то ресурс через неизвестный анонимайзер, то это не страшно. Другое дело, если он сидит через него постоянно. Тогда у Вас адрес этого анонимайзера попадает в популярные и Вы можете внести его в черный список.

Ну и не забываем о регулярных обновлениях блэклиста.

dr.gopher

@dvserg:

Ну и не забываем о регулярных обновлениях блэклиста.

А автоматизировать реально обновление баз?

dvserg

@dr.gopher:

@dvserg:

Ну и не забываем о регулярных обновлениях блэклиста.

А автоматизировать реально обновление баз?

Последняя глобальная переделка была заточена и под это тоже.
Но / (с) Димон / "чета я очкую пацаны..".
Есть несколько моментов, которые останавливают от добавления такой опции.
При большом желании - есть скрипт, который не сложно добавить в Cron.

dr.gopher

@dvserg:

При большом желании - есть скрипт, который не сложно добавить в Cron.

Я готов потестить.