Pfsense 2.1 + nat + блокировка сайтов
-
подскажите\поможите:
установлен pfsense 2.1, инет раздается через nat, настроена балансировка
как заблокировать сайты (типа вк и т.д.) определенным ip из лана? -
Правилами файрвола на LAN
-
Блокировку сайтов можно сделать при помощи proxy сервера squid.
Для установки зайди в System->packages->avalibale packages
Там найдешь пакет squid (я устанавливал версии 2.7.9 pkg v.4.3.3, но можешь попробовать и squid3).
Можешь также доставить пакет Lightsquid - довольно удобный лог со статистикой.
После установки squid проверь запустился ли он status->services - squid должен быть run
Теперь по настройке:
1.Проверь правильно ли у тебя настроены ДНС.
2.Открой 53 порт на внутренней сети
3.Все настройки squid находятся в services->proxy server.
4.Все настройки по блокировке во вкладке Access controlДля настройки воспользуйся вот этим манулом
-
IPv4 * * * block_ * * none
IPv4 * block_ * * * * none
в файрволе на интерфейс лан создал 2 правила (block_ - альяс блокируемых ip)
и не работает - все равно пускает на них -
Важен порядок правил. Скриншот правил дайте.
-
А вы знаете сколько адресов\подсетей вам нужно блокировать для ВК, Одноглазников и т.д ?! Их там очччччень много.
Думается, вам легче разрешить только те сайты, к-ые вам нужны , а остальное блокировать. Плюс, можно и сквидом со сквидгвардом воспользоваться. -
А вы знаете сколько адресов\подсетей вам нужно блокировать для ВК, Одноглазников и т.д ?! Их там очччччень много.
Думается, вам легче разрешить только те сайты, к-ые вам нужны , а остальное блокировать. Плюс, можно и сквидом со сквидгвардом воспользоваться.Ну самом деле у ВК, к примеру, одна подсеть но очень большая.
У других думаю так же. -
Не одна, не одна :
http://bgp.he.net/AS49988#_prefixes
http://bgp.he.net/AS47541#_prefixes
Плюс никто не запрещал анонимайзеры, прокси и всякие впн-ы 8)
-
Не одна, не одна :
http://bgp.he.net/AS49988#_prefixes
http://bgp.he.net/AS47541#_prefixes
Плюс никто не запрещал анонимайзеры, прокси и всякие впн-ы 8)
Окаг я как-то на АДСЛ модеме блочил ВК - но только 87.240.128.0/18. :o
Рытсяа в инете времени правда небыло -
Окаг я как-то на АДСЛ модеме блочил ВК - но только 87.240.128.0/18. :o
Рытсяа в инете времени правда небылоа так пропустит? ;) https://vk.com/
-
а так пропустит? ;) https://vk.com/
Если блокировать по IP\подсетям, то с какой радости пропустит?
-
Окаг я как-то на АДСЛ модеме блочил ВК - но только 87.240.128.0/18. :o
Рытсяа в инете времени правда небылоа так пропустит? ;) https://vk.com/
Если блокировать по IP - без разницы на протоколы.
А списочек завтра дополню :D -
Если блокировать по IP - без разницы на протоколы.
А списочек завтра дополню :Dда уж дилемма :)
1. блокировать все и разрешить только "нужное"
2. разрешить все и блокировать "не нужное" -
Отдельную тему не завожу, но вот известно что оптимально блокировать на L7 уровне (в FAQ есть ссылка). Сегодня попробывал: вместо того чтобы совсем блокировать и иметь проблемы с отображением страниц, ставлю лимитирование трафика. Применил к фильтрации HTTPS трафика, который как известно идет минуя Squid. Сайты открываются, но медленно. Никто особенно не возмущается (пока).
-
Не одна, не одна :
http://bgp.he.net/AS49988#_prefixes
http://bgp.he.net/AS47541#_prefixes
Плюс никто не запрещал анонимайзеры, прокси и всякие впн-ы 8)
спасибо )
по скринам лишнее в floating?
-
1. Во Флоатинг блокирующие правила? Убирайте их оттуда.
2. Что есть алиас block_ ? Если это перечень адресов из LAN , то первое блокирующее правило на LAN неверно, если внешние ресурсы - второе не к месту. Разбирайтесь. -
block_ - альяс из внешних подсетей однокласников и вконтакта
-
1. Во Флоатинг блокирующие правила? Убирайте их оттуда.
2. Если внешние ресурсы - второе не к месту
Правила для запрета\разрешения доступа внешних адресов к LAN рисуется на WAN
-
Еще не заметил, делал ли автор сброс соединений pf в меню Diagnostics: Reset state или страница /diag_resetstate.php
-
сброс делал, пока вроде блокирует по ip взятым с
http://bgp.he.net/AS49988#_prefixes