Pfsense 2.1 + nat + блокировка сайтов

werter

А вы знаете сколько адресов\подсетей вам нужно блокировать для ВК, Одноглазников и т.д ?! Их там очччччень много.
Думается, вам легче разрешить только те сайты, к-ые вам нужны , а остальное блокировать. Плюс, можно и сквидом со сквидгвардом воспользоваться.

dvserg

@werter:

А вы знаете сколько адресов\подсетей вам нужно блокировать для ВК, Одноглазников и т.д ?! Их там очччччень много.
Думается, вам легче разрешить только те сайты, к-ые вам нужны , а остальное блокировать. Плюс, можно и сквидом со сквидгвардом воспользоваться.

Ну самом деле у ВК, к примеру, одна подсеть но очень большая.
У других думаю так же.

werter

Не одна, не одна :

http://bgp.he.net/AS49988#_prefixes

http://bgp.he.net/AS47541#_prefixes

Плюс никто не запрещал анонимайзеры, прокси и всякие впн-ы 8)

dvserg

@werter:

Не одна, не одна :

http://bgp.he.net/AS49988#_prefixes

http://bgp.he.net/AS47541#_prefixes

Плюс никто не запрещал анонимайзеры, прокси и всякие впн-ы 8)

Окаг я как-то на АДСЛ модеме блочил ВК - но только 87.240.128.0/18. :o
Рытсяа в инете времени правда небыло

NegoroX

Окаг я как-то на АДСЛ модеме блочил ВК - но только 87.240.128.0/18. :o
Рытсяа в инете времени правда небыло

а так пропустит? ;) https://vk.com/

werter

а так пропустит? ;) https://vk.com/

Если блокировать по IP\подсетям, то с какой радости пропустит?

dvserg

@NegoroX:

Окаг я как-то на АДСЛ модеме блочил ВК - но только 87.240.128.0/18. :o
Рытсяа в инете времени правда небыло

а так пропустит? ;) https://vk.com/

Если блокировать по IP - без разницы на протоколы.
А списочек завтра дополню :D

NegoroX

@dvserg:

Если блокировать по IP - без разницы на протоколы.
А списочек завтра дополню :D

да уж дилемма :)
1. блокировать все и разрешить только "нужное"
2. разрешить все и блокировать "не нужное"

NetWiz

Отдельную тему не завожу, но вот известно что оптимально блокировать на L7 уровне (в FAQ есть ссылка). Сегодня попробывал: вместо того чтобы совсем блокировать и иметь проблемы с отображением страниц, ставлю лимитирование трафика. Применил к фильтрации HTTPS трафика, который как известно идет минуя Squid. Сайты открываются, но медленно. Никто особенно не возмущается (пока).

duh_s

@werter:

Не одна, не одна :

http://bgp.he.net/AS49988#_prefixes

http://bgp.he.net/AS47541#_prefixes

Плюс никто не запрещал анонимайзеры, прокси и всякие впн-ы 8)

спасибо )

по скринам лишнее в floating?

3.jpg_thumb

4.jpg_thumb

werter

1. Во Флоатинг блокирующие правила? Убирайте их оттуда.
2. Что есть алиас block_ ? Если это перечень адресов из LAN , то первое блокирующее правило на LAN неверно, если внешние ресурсы - второе не к месту. Разбирайтесь.

duh_s

block_ - альяс из внешних подсетей однокласников и вконтакта

werter

1. Во Флоатинг блокирующие правила? Убирайте их оттуда.

2. Если внешние ресурсы - второе не к месту

Правила для запрета\разрешения доступа внешних адресов к LAN рисуется на WAN

NetWiz

Еще не заметил, делал ли автор сброс соединений pf в меню Diagnostics: Reset state или страница /diag_resetstate.php

duh_s

сброс делал, пока вроде блокирует по ip взятым с
http://bgp.he.net/AS49988#_prefixes

5.jpg_thumb