Layer7 и социальные сети
-
Настроил блокировку по этому http://small-town-nobody.blogspot.com/2012/05/pfsense.html мануалу.
Паттерн выглядит следующим образом# Protocol name antisocial # Pattern ^.+(vk.com|vk.ru|vkontakte|odnoklassniki|odnoklasniki|facebook|ok.ru).*$С большего блокирует, но остается вопрос всяческих анонимайзеров. Через некоторые, все таки пролазит. :(
Может у кого-то есть готовое решение? Как-то паттерн подправить или еще что? -
Думаю, что не выйдет. Анонимайзеры криптуют урл (и трафик) при запросе. Как вариант - блокировать дипазоны адресов соц. сетей - http://bgp.he.net/dns/vk.com#_ipinfo
Самое простое - разрешать только те ресурсы, к-ые необходимы. Правда, это только в том случае, если их немного.
Ну или только в обед, допустим, разрешать доступ в Интернет.Еще можно отслеживать адреса анонимайзеров и блокировать их. Однако это работа неблагодарная.
P.s. Есть вариант использовать что-то типа Яндекс.ДНС, но с возможностью блокирования по категориям ресурсов (в т.ч. соц. сетей и анонимайзеров).
-
Что-то я не понял. Как поможет от анонимайзеров поможет блокировка адресов вконтакта? А пускать в инет по белому списку не вариант - придется только на этот список и работать. Да и организационно не реально.
-
Что-то я не понял. Как поможет от анонимайзеров поможет блокировка адресов вконтакта? А пускать в инет по белому списку не вариант - придется только на этот список и работать. Да и организационно не реально.
Верно, не поможет. Это от прямого доступа.
А как вы относитесь к тому, если пользователь дома поднимет OpenVPN или tinc и будет коннектиться к нему ? Вариантов обхода - оч. много. -
Верно, не поможет. Это от прямого доступа.
А как вы относитесь к тому, если пользователь дома поднимет OpenVPN или tinc и будет коннектиться к нему ? Вариантов обхода - оч. много.Плохо отношусь. И буду пытаться блокировать (тем же layer7 скорее всего). Но это потом, а пока хочу прикрыть более очевидные для простого юзверя пути обхода.
-
1. Запретить использовать httpS. Открыть только необходимые ресурсы по https.
2. Установить squid, lightsquid и мониторить периодически отчеты на предмет обращения к анонимайзерам. Блокировать доступ к анонимайзерам на основе этих отчетов. А лучше - отчет начальству об особо "умных" пользователях.Советую сразу занести известные анонимайзеры в списки блокировки. Это первые две-три страницы в гугле по запросу "анонимайзер"
-
1. Запретить использовать httpS. Открыть только необходимые ресурсы по https.
2. Установить squid, lightsquid и мониторить периодически отчеты на предмет обращения к анонимайзерам. Блокировать доступ к анонимайзерам на основе этих отчетов. А лучше - отчет начальству об особо "умных" пользователях.Советую сразу занести известные анонимайзеры в списки блокировки. Это первые две-три страницы в гугле по запросу "анонимайзер"
1. Закрывать https и опять разбираться с белыми списками? Не вариант.
2. Уже установлен squid+squidguard+shallalist - от анонимайзеров помогает мало. Опять таки возвращаться к копанию в логах сквида и составлению черных\белых списков не хочется. Все как раз затевалось, чтобы уйти от этого. -
Вам не угодишь. Дерзайте.
P.s. Лично мне помог LightSquid и хождение к начальству со списками. Или ищите (и платите) за dns-сервис, имеющий в своем наборе возможность блокирования ананонимайзеров.
-
использую для этих целей squid3-dev + squidGuard-squid3, настроен прозрачный прокси и проксирование HTTPs с подменой сертификатов. В squidGuard использую блэклист http://www.shallalist.de/Downloads/shallalist.tar.gz. Для бана соцсетей и анонимайзеров в этом блэклисте есть фильтры !blk_BL_anonvpn, !blk_BL_redirector, !blk_BL_socialnet, работают прекрасно. Лист !blk_BL_redirector был проверен на первой десятке выдачи гула по словам "анонимайзер" и "разблокировать вконтакте", в !blk_BL_socialnet есть все популярные соц сети. Все что надо блочится.
-
Так же, рекомендую настроить прямыми руками WPAD.
-
Приветствую, проблемы с настройкой, по примеру сделал пат для соц сетей, когда добавляю в рулес, отваливается напрочь доступ в инет, думал может не так что сделал, решил попробовать на готовых шаблонах, так же отваливается доступ в инет, пробовал и лан и ван, что не так делаю?
-
Layer 7 не работает после версии 2.1.5. Отслеживаем решение вот здесь, по планам, перенесли на версию 2.3.х
https://redmine.pfsense.org/issues/4276 -
печально..
а теперь теория, отключаю 443 порт, закрываются все хттпс, можно ли каким путем открыть только для маил.ру хттпс?
пусть почту хоть смотрят :) -
Всем Привет! Как я понял основная задача блочить определенные https ресурсы без использования сертификатов и прокси…
Некоторое время назад пользовался Endi***FW, дак там на форуме вычитал что для блокировки некоторых хостов https, использовался фокус с DNS релеем чтоли, т.е. при обращении на адрес https://vk.com - создавали свое внутренне перенаправление внутрь своей сети на какой нить ip и все... Сам не пробовал, но отзывы говорили о том что фокус работает... -
печально..
а теперь теория, отключаю 443 порт, закрываются все хттпс, можно ли каким путем открыть только для маил.ру хттпс?
пусть почту хоть смотрят :)Да. Вписать адреса в исключения (Destination adresses) в настройках squid.
AS-ы mail.ru - http://bgp.he.net/dns/mail.ru#_ipinfo
-
получилось, но не сразу, на сайт мейла пустил, сам ящик открылся при добавлении адресов е.майл.ру , потом грузился интерфейс плохо, добавил по логам блокировки еще пару айпи, теперь все хорошо, если так добавлять необходимые сайты, не очень путь
-
получилось, но не сразу, на сайт мейла пустил, сам ящик открылся при добавлении адресов е.майл.ру , потом грузился интерфейс плохо, добавил по логам блокировки еще пару айпи, теперь все хорошо, если так добавлять необходимые сайты, не очень путь
Ссылку в моем предыдущем посте смотрели ? Покажите скрины настроек squid.
-
получилось, но не сразу, на сайт мейла пустил, сам ящик открылся при добавлении адресов е.майл.ру , потом грузился интерфейс плохо, добавил по логам блокировки еще пару айпи, теперь все хорошо, если так добавлять необходимые сайты, не очень путь
Ссылку в моем предыдущем посте смотрели ? Покажите скрины настроек squid.
с AS не знаю что делать, пошел по пути - днслукап создал алиас с диапозоном ип, как пример e.mail.ru скрин, делал такое же для маил, яндекс переводчика, уже удалил, после в рулесах 443 порт для этого алиса разрешил.
куда Аснку можно вписать чтобы получить доступ?
-
с AS не знаю что делать
куда Аснку можно вписать чтобы получить доступ?
Вписать адреса в исключения (Destination adr.) в настройках squid :
217.69.128.0/20
94.100.176.0/20P.s. http://linkmeup.ru/tag/сети%20для%20самых%20маленьких/ . Сам пользую.
-
может кому пригодится, сделал днслукап вк, получил адреса, из них алиас, создаю правило на этот алиас - блок, https://vk.com/ открывается, логин и логаут не дает сделать.
