Layer7 и социальные сети
-
печально..
а теперь теория, отключаю 443 порт, закрываются все хттпс, можно ли каким путем открыть только для маил.ру хттпс?
пусть почту хоть смотрят :) -
Всем Привет! Как я понял основная задача блочить определенные https ресурсы без использования сертификатов и прокси…
Некоторое время назад пользовался Endi***FW, дак там на форуме вычитал что для блокировки некоторых хостов https, использовался фокус с DNS релеем чтоли, т.е. при обращении на адрес https://vk.com - создавали свое внутренне перенаправление внутрь своей сети на какой нить ip и все... Сам не пробовал, но отзывы говорили о том что фокус работает... -
печально..
а теперь теория, отключаю 443 порт, закрываются все хттпс, можно ли каким путем открыть только для маил.ру хттпс?
пусть почту хоть смотрят :)Да. Вписать адреса в исключения (Destination adresses) в настройках squid.
AS-ы mail.ru - http://bgp.he.net/dns/mail.ru#_ipinfo
-
получилось, но не сразу, на сайт мейла пустил, сам ящик открылся при добавлении адресов е.майл.ру , потом грузился интерфейс плохо, добавил по логам блокировки еще пару айпи, теперь все хорошо, если так добавлять необходимые сайты, не очень путь
-
получилось, но не сразу, на сайт мейла пустил, сам ящик открылся при добавлении адресов е.майл.ру , потом грузился интерфейс плохо, добавил по логам блокировки еще пару айпи, теперь все хорошо, если так добавлять необходимые сайты, не очень путь
Ссылку в моем предыдущем посте смотрели ? Покажите скрины настроек squid.
-
получилось, но не сразу, на сайт мейла пустил, сам ящик открылся при добавлении адресов е.майл.ру , потом грузился интерфейс плохо, добавил по логам блокировки еще пару айпи, теперь все хорошо, если так добавлять необходимые сайты, не очень путь
Ссылку в моем предыдущем посте смотрели ? Покажите скрины настроек squid.
с AS не знаю что делать, пошел по пути - днслукап создал алиас с диапозоном ип, как пример e.mail.ru скрин, делал такое же для маил, яндекс переводчика, уже удалил, после в рулесах 443 порт для этого алиса разрешил.
куда Аснку можно вписать чтобы получить доступ?
-
с AS не знаю что делать
куда Аснку можно вписать чтобы получить доступ?
Вписать адреса в исключения (Destination adr.) в настройках squid :
217.69.128.0/20
94.100.176.0/20P.s. http://linkmeup.ru/tag/сети%20для%20самых%20маленьких/ . Сам пользую.
-
может кому пригодится, сделал днслукап вк, получил адреса, из них алиас, создаю правило на этот алиас - блок, https://vk.com/ открывается, логин и логаут не дает сделать.
-
может кому пригодится, сделал днслукап вк, получил адреса, из них алиас, создаю правило на этот алиас - блок, https://vk.com/ открывается, логин и логаут не дает сделать.
так то создавая алиас можно сразу забить туда vk.com и login.vk.com
-
может кому пригодится, сделал днслукап вк, получил адреса, из них алиас, создаю правило на этот алиас - блок, https://vk.com/ открывается, логин и логаут не дает сделать.
так то создавая алиас можно сразу забить туда vk.com и login.vk.com
просто вк одноклассники тд закрыть не проблема при помощи прокси фильтра, а вот закрыть защищенное соединение https другая задача, которая раньше решалась через л7, либо созданием сертификата.
вообще пользователей обрубил подменой хост файла замкнутых на себя, тут уже для себя испытания. -
Мне все интересно что и от кого Вы стремтесь закрыть. Недавно я закрывал социалки только по причине лимитного трафика. А сейчас у каждого айфон или виндовсфон с интернетом.
-
Мне все интересно что и от кого Вы стремтесь закрыть. Недавно я закрывал социалки только по причине лимитного трафика. А сейчас у каждого айфон или виндовсфон с интернетом.
хотелка руководства, трафик безлим, но 6 мегабит на 100+ чел… :P
-
А правилом в файрволе+алиасы закрыть https что мешает?
Тот же контакт однокласники и прочее закрывается… -
А правилом в файрволе+алиасы закрыть https что мешает?
Тот же контакт однокласники и прочее закрывается…готов попробовать пример, какие именно правила и алиасы?
-
Скрины приложены.
Только нужно учесть, что правило начнет работать не сразу, т.к. pfSense с некоторой периодичностью производит резолвинг DNS в IP (преобразует vk.com -> ip адрес(а)).
-
А правилом в файрволе+алиасы закрыть https что мешает?
Тот же контакт однокласники и прочее закрывается…готов попробовать пример, какие именно правила и алиасы?
werter уже подсказывал, но повторим))
у меня fw(тут не прикладываю) запрещает переход на резервный канал. Адреса 217.14.201.204-206 это зеркало youtube на площадке основного провайдера. Поскольку список "Network or FQDN" можно добавлять и dns имена, типа twitter.com![2015-06-16 13-21-55 ???????? ??????.png](/public/imported_attachments/1/2015-06-16 13-21-55 ???????? ??????.png)
![2015-06-16 13-21-55 ???????? ??????.png_thumb](/public/imported_attachments/1/2015-06-16 13-21-55 ???????? ??????.png_thumb) -
Скрины приложены.
Только нужно учесть, что правило начнет работать не сразу, т.к. pfSense с некоторой периодичностью производит резолвинг DNS в IP (преобразует vk.com -> ip адрес(а)).добил список, по сути у меня тоже самое только айпи сайтов, и блок стояло,ну и ACL в фильтре с списком социалок.
возник вопрос по вашему списку, m.vk.com и m.ok.ru пускает? https facebook? -
m.vk.com и m.ok.ru пускает?
m.vk.com - блокировался,
m.ok.ru - не блокировался, добавил себеТут все зависит от того, используются одни и те же IP или разные…
https facebook?
- блокируются все порты, включая 443.
-
m.vk.com и m.ok.ru пускает?
m.vk.com - блокировался,
m.ok.ru - не блокировался, добавил себеТут все зависит от того, используются одни и те же IP или разные…
https facebook?
- блокируются все порты, включая 443.
у меня 443 открыт, думал обойтись вбить те сайты что хочу запретить, а не вбивать те сайты что хочу разрешить по 443.
список добил, подожду
немного подождал, вк отсекается фильром, 443 вк отсекается правилом, на данный момент фейсбук и твиттер открываются, руру фейсбук отсекается фильтром
жду дальше)
-
2 Yuri4
Зачем Вы исп. 32-х битную маску в адресах ?
Список сетей, к-ые необходимо закрывать :
ВК
http://bgp.he.net/search?search%5Bsearch%5D=vkontakte&commit=Search
ОК
http://bgp.he.net/search?search%5Bsearch%5D=odnoklassniki&commit=Search
Далее, что с анонимайзерами ?
P.s. Поищите на форуме рецепт с закрытием социалок, анонимайзеров etc. путем исп. squid + фильтрации защищенного трафика + blacklists
-
32 автоматом днслукап проставил, на данный момент вк и остальное блокируется хорошо, кроме фейсбук и твиттера…
анонимайзеры и порно и оч многое закрыто блеклистом в фильтре, + в фильтре от меня дописаны сайты , блеклист www.shallalist.de