Pfsense 2.1 + nat + блокировка сайтов

werter

а так пропустит?  ;) https://vk.com/

Если блокировать по IP\подсетям, то с какой радости пропустит?

dvserg

@NegoroX:

Окаг я как-то на АДСЛ модеме блочил ВК - но только 87.240.128.0/18.  :o
Рытсяа в инете времени правда небыло

а так пропустит?  ;) https://vk.com/

Если блокировать по IP - без разницы на протоколы.
А списочек завтра дополню :D

NegoroX

@dvserg:

Если блокировать по IP - без разницы на протоколы.
А списочек завтра дополню :D

да уж дилемма  :)
1. блокировать все и разрешить только "нужное"
2. разрешить все и блокировать "не нужное"

NetWiz

Отдельную тему не завожу, но вот известно что оптимально блокировать на L7 уровне (в FAQ есть ссылка). Сегодня попробывал: вместо того чтобы совсем блокировать и иметь проблемы с отображением страниц, ставлю лимитирование трафика. Применил к фильтрации HTTPS трафика, который как известно идет минуя Squid. Сайты открываются, но медленно. Никто особенно не возмущается (пока).

duh_s

@werter:

Не одна, не одна :

http://bgp.he.net/AS49988#_prefixes

http://bgp.he.net/AS47541#_prefixes

Плюс никто не запрещал анонимайзеры, прокси и всякие впн-ы  8)

спасибо )

по скринам лишнее в floating?

werter

1. Во Флоатинг блокирующие правила? Убирайте их оттуда.
2. Что есть алиас block_ ? Если это перечень адресов из LAN , то первое блокирующее правило на LAN неверно, если внешние ресурсы - второе не к месту. Разбирайтесь.

duh_s

block_ - альяс из внешних подсетей однокласников и вконтакта

werter

1. Во Флоатинг блокирующие правила? Убирайте их оттуда.

2. Если внешние ресурсы - второе не к месту

Правила для запрета\разрешения доступа внешних адресов к LAN рисуется на WAN

NetWiz

Еще не заметил, делал ли автор сброс соединений pf в меню Diagnostics: Reset state или страница /diag_resetstate.php

duh_s

сброс делал, пока вроде блокирует по ip взятым с
http://bgp.he.net/AS49988#_prefixes