Pfsense + squidguard

_if · Nov 12, 2012, 6:19 AM

Фото правил FileAccessDeny покажите.

dr.gopher · Nov 12, 2012, 7:46 AM

_if

Expressions:
(./..(mp3|wav|avi|mp4|mpef4|ac3|aac|aac+|wma|flv|wmv|mov|f4v|webm|swf|mkv))|player|radio|flashvideo|shokware

artemvst · Nov 12, 2012, 8:23 AM

@dr.gopher:

_if

Expressions:
(./..(mp3|wav|avi|mp4|mpef4|ac3|aac|aac+|wma|flv|wmv|mov|f4v|webm|swf|mkv))|player|radio|flashvideo|shokware

Да ересь это все. Не поможет. Через анонимайзеры все будет ок.

_if · Nov 12, 2012, 8:31 AM

@dr.gopher:

_if

Expressions:
(./..(mp3|wav|avi|mp4|mpef4|ac3|aac|aac+|wma|flv|wmv|mov|f4v|webm|swf|mkv))|player|radio|flashvideo|shokware

Все равно не работает…Пускает на сайт,позволяет делать любые операции.

rubic · Nov 12, 2012, 8:40 AM

(.*.(mp3|wav|avi|mp4|mpef4|ac3|aac|aac+|wma|flv|wmv|mov|f4v|webm|swf|mkv)($|?))|player|radio|flashvideo|shokware

dvserg · Nov 12, 2012, 9:03 AM

Без времени еще попробуйте протестируйте.

dr.gopher · Nov 12, 2012, 9:45 AM

@artemvst:

@dr.gopher:

Expressions:
(./..(mp3|wav|avi|mp4|mpef4|ac3|aac|aac+|wma|flv|wmv|mov|f4v|webm|swf|mkv))|player|radio|flashvideo|shokware

Да ересь это все. Не поможет. Через анонимайзеры все будет ок.

Ну почемуже?
1. Закрываете возможность доступа по ip
2. Подгружаете блеклист www.shallalist.de/Downloads/shallalist.tar.gz
3. В блеклисе выбираете категории [blk_BL_anonvpn] denny

И оочень трудно найти не забаненый анонимайзер.

_if · Nov 12, 2012, 10:52 AM

dr.gopher,благодарю за помощь!

Суть проблемы была в следующем.В разделе Services -> Proxy server не был настроен.Вот.. :)

Теперь задался вопросом.Возможно ли использовать в pfsense авторизацию логин <-> пароль,что бы резать посещаемость определенным пользователям по мимо глобальных правил?И возможно ли отгружать статистику траффика по пользователям(кто и где был\сколько выкачал,закачал)?

Спасибо за внимание!

dvserg · Nov 12, 2012, 11:08 AM

Если только по http, то все делается средствами Squid (авторизация) + LightSquid/Sarg
Если про все вообще - то CaptivePortal. Но общую статистику придется что-то на подобии http://forum.pfsense.org/index.php/topic,21394.0.html делать

Глобальные правила, кстати, на доступ к прокси не влияют.

zikfriddi · Nov 14, 2012, 6:40 PM

А кто-нибудь забивал в Expressions: русские слова? у меня почему-то при добавлении их, отваливается все правило. Банит только домены целиком(которые перечислены в Domains list )

dvserg · Nov 14, 2012, 6:58 PM

А не нужно их туда забивать. Нужно использовать коды вида %хх ( q=%D1%81%D0%B2%D0%B5%D1%82 ).

zikfriddi · Nov 14, 2012, 7:14 PM

Я предполагал что там пишуться теги, которые он потом будет банить! Или я не прав? как мне забанить допустим слово "какашка"?:)Вот если туда вписать "kakashka" правило будет срабатывать!

dvserg · Nov 14, 2012, 7:20 PM

Нет, это URL фильтр. Вам нужен Dansguardian.

zikfriddi · Nov 14, 2012, 7:30 PM

А эта как я понял контент фильтрует!Спасибо, с этим разобрался:). А проблем со временем не было.Я имею ввиду в проксифильтре? У меня стоит время для работы правил (8-19),а они работают все время?

artemvst · Nov 15, 2012, 6:56 AM

@dr.gopher:

@artemvst:

@dr.gopher:

Expressions:
(./..(mp3|wav|avi|mp4|mpef4|ac3|aac|aac+|wma|flv|wmv|mov|f4v|webm|swf|mkv))|player|radio|flashvideo|shokware

Да ересь это все. Не поможет. Через анонимайзеры все будет ок.

Ну почемуже?
1. Закрываете возможность доступа по ip
2. Подгружаете блеклист www.shallalist.de/Downloads/shallalist.tar.gz
3. В блеклисе выбираете категории [blk_BL_anonvpn] denny

И оочень трудно найти не забаненый анонимайзер.

Так и есть. НО - все равно можно, настойчивый всегда найдет. Учитывая что их по сотне в день новых делают - на 10-й странице гугла точно будет.

dr.gopher · Nov 15, 2012, 7:30 AM

@artemvst:

НО - все равно можно, настойчивый всегда найдет. Учитывая что их по сотне в день новых делают - на 10-й странице гугла точно будет.

Тогда можно вообще ничего не делать! Один фиг когда то умрем. ;)

dvserg · Nov 15, 2012, 7:32 AM

@dr.gopher:

@artemvst:

И оочень трудно найти не забаненый анонимайзер.

Так и есть. НО - все равно можно, настойчивый всегда найдет. Учитывая что их по сотне в день новых делают - на 10-й странице гугла точно будет.

Решения "настроил и отдыхай" для фильтрации не существует.
Вы можете запретить все и открывать по требованию, либо разрешить все и ограничить известные ресурсы.
В любом случае это постоянная работа администратора.

Я обычно всем предлагаю последний вариант + постоянный мониторинг популярных сайтов (отчеты LS/Sarg). И не нужно стараться контралировать все (это параноя - сам прошел). Если сотрудника пару раз сходил на какой-то ресурс через неизвестный анонимайзер, то это не страшно. Другое дело, если он сидит через него постоянно. Тогда у Вас адрес этого анонимайзера попадает в популярные и Вы можете внести его в черный список.

Ну и не забываем о регулярных обновлениях блэклиста.

dr.gopher · Nov 16, 2012, 7:20 AM

@dvserg:

Ну и не забываем о регулярных обновлениях блэклиста.

А автоматизировать реально обновление баз?

dvserg · Nov 16, 2012, 7:57 AM

@dr.gopher:

@dvserg:

Ну и не забываем о регулярных обновлениях блэклиста.

А автоматизировать реально обновление баз?

Последняя глобальная переделка была заточена и под это тоже.
Но / (с) Димон / "чета я очкую пацаны..".
Есть несколько моментов, которые останавливают от добавления такой опции.
При большом желании - есть скрипт, который не сложно добавить в Cron.

dr.gopher · Nov 16, 2012, 8:15 AM

@dvserg:

При большом желании - есть скрипт, который не сложно добавить в Cron.

Я готов потестить.