Блокировка https сайтов

gr0mW · Feb 7, 2013, 9:29 PM

У меня сделан алиас на IP пула контакта и на IP его ДНС . В правилах протокол any на алиас по шедулеру и в начало списка правил. Если не закрывать подсеть и ДНС то ВК не блокируеться ( они периодически меняют адреса в пределах своего пула)
Для однокласников закрывать тоже пул адресов.

UPD: да и в правилах лучше не Block а Reject, а то получаються тормоза при открытии сайтов со сслылками на эти соц.сети
Узнать пулы можно через http://dnstools.fastnext.com или http://dnsstuff.hostpro.ua (адрес берите из nslookup или dig)

WY6EPT · Aug 25, 2013, 11:08 AM

Подскажите а на основе алиасов с URL есть ли возможность установить блокировки на основе файрвола?
и какой синтаксис для этих URL применяется

Hazker · May 1, 2014, 4:10 PM

Извините, что поднимаю старую тему, но ятак и не понял как заблокировать httpS:\vk.com. Использую последнюю версию pfsense, Установлены пакеты squid, squidguard. Через squidguard заблокировал сайты по http. Как решить вопрос блокировки по httpS. Прошу подробный ответ, т.к. только недавно встретился с pfsense. Заранее спасибо за помощь!

NegoroX · May 1, 2014, 5:46 PM

я так и не понял как заблокировать httpS:\vk.com

я заблокировал на ЛаН так
Proto Source Port Destination Port Gateway
IPv4 * * 87.240.128.0/18 * *

для тех кому "можно" выше этого разрешающее правило с алиасом в соурсе
(перезагрузить пфсенсе и нет VK ;)

werter · May 1, 2014, 6:34 PM

Я бы еще расширил список адресов для ВК :

http://bgp.he.net/search?search%5Bsearch%5D=vkontakte&commit=Search

Hazker · May 3, 2014, 1:44 PM

@NegoroX:

я так и не понял как заблокировать httpS:\vk.com

я заблокировал на ЛаН так
Proto Source Port Destination Port Gateway
IPv4 * * 87.240.128.0/18 * *

для тех кому "можно" выше этого разрешающее правило с алиасом в соурсе
(перезагрузить пфсенсе и нет VK ;)

не помогло. Пробовал также список ip из поста выше, тоже не помогло :( У вас так работает или это был просто пример? перезагрузка pfsense не помогает

werter · May 3, 2014, 3:40 PM

@ Hazker
Так оно и не будет ничего блокировать :) Вы последнее правило самым первым поставьте.
И запомните , что правила действуют сверх-вниз!

Hazker · May 4, 2014, 1:09 PM

@werter:

@ Hazker
Так оно и не будет ничего блокировать :) Вы последнее правило самым первым поставьте.
И запомните , что правила действуют сверх-вниз!

О, спс. Заработало. Спасибо огромное. Буду иметь ввиду

bill_open · May 5, 2014, 4:28 AM

@Hazker:

@werter:

@ Hazker
Так оно и не будет ничего блокировать :) Вы последнее правило самым первым поставьте.
И запомните , что правила действуют сверх-вниз!

О, спс. Заработало. Спасибо огромное. Буду иметь ввиду

так же не забывайте reset states

EVorobyov · May 6, 2014, 6:53 PM

Немного офтопика.
Раз тема пошла не только про htpps, а в сторону блокировки известной социальной сети, то вот мой вариант…

Я делал хитрей, с помощью трафик шейпера.

Сейчас под рукой нет настроек, но смысл в том, что если в запросе имеется vk.com или аналоги, то первые принятые 15 Кбайт из запроса передаются пользователю на большой скорости, и потом режется до минимума, ну примерно до 2 кбит/с.

Таким образом банеры и прочая дрянь из vk.com на различных сайтах типи такого остается не тронутой,

а вот юзерам посидеть в ВК вообще не комфортно.

И к тому же, есть отмазка, что блокировка не от сисадмина исходит.
Кстати, таким образом можно банить не только социалки, но всякие ютубы и прочее что нужно. Но есть одно НО! На момент всех этих моих банов/шейперов, я не нашел как использовать фильтры для отдельных хостов. По этому под резак попадали все!

wernisag · May 7, 2014, 3:32 AM

А если через анонимайзер?

werter · May 7, 2014, 7:00 AM

@wernisag:

А если через анонимайзер?

В таком случае , я открываю только те сайты по https , к-ые необходимы.