Layer7 и социальные сети

Scodezan

Мне все интересно что и от кого Вы стремтесь закрыть. Недавно я закрывал социалки только по причине лимитного трафика. А сейчас у каждого айфон или виндовсфон с интернетом.

Yuri4

@Scodezan:

Мне все интересно что и от кого Вы стремтесь закрыть. Недавно я закрывал социалки только по причине лимитного трафика. А сейчас у каждого айфон или виндовсфон с интернетом.

хотелка руководства, трафик безлим, но 6 мегабит на 100+ чел… :P

Angel_19

А правилом в файрволе+алиасы закрыть https что мешает?
Тот же контакт однокласники и прочее закрывается…

Yuri4

@Angel_19:

А правилом в файрволе+алиасы закрыть https что мешает?
Тот же контакт однокласники и прочее закрывается…

готов попробовать пример, какие именно правила и алиасы?

Angel_19

Скрины приложены.
Только нужно учесть, что правило начнет работать не сразу, т.к. pfSense с некоторой периодичностью производит резолвинг DNS в IP (преобразует vk.com -> ip адрес(а)).

pfSense1.png_thumb

pfSense2.png_thumb

pfSense3.png_thumb

Scodezan

@Yuri4:

@Angel_19:

А правилом в файрволе+алиасы закрыть https что мешает?
Тот же контакт однокласники и прочее закрывается…

готов попробовать пример, какие именно правила и алиасы?

werter уже подсказывал, но повторим))
у меня fw(тут не прикладываю) запрещает переход на резервный канал. Адреса 217.14.201.204-206 это зеркало youtube на площадке основного провайдера. Поскольку список "Network or FQDN" можно добавлять и dns имена, типа twitter.com

![2015-06-16 13-21-55 ???????? ??????.png](/public/imported_attachments/1/2015-06-16 13-21-55 ???????? ??????.png)
![2015-06-16 13-21-55 ???????? ??????.png_thumb](/public/imported_attachments/1/2015-06-16 13-21-55 ???????? ??????.png_thumb)

Yuri4

@Angel_19:

Скрины приложены.
Только нужно учесть, что правило начнет работать не сразу, т.к. pfSense с некоторой периодичностью производит резолвинг DNS в IP (преобразует vk.com -> ip адрес(а)).

добил список, по сути у меня тоже самое только айпи сайтов, и блок стояло,ну и ACL в фильтре с списком социалок.
возник вопрос по вашему списку, m.vk.com и m.ok.ru пускает? https facebook?

Angel_19

m.vk.com и m.ok.ru пускает?

m.vk.com - блокировался,
m.ok.ru - не блокировался, добавил себе

Тут все зависит от того, используются одни и те же IP или разные…

https facebook?

блокируются все порты, включая 443.

Yuri4

@Angel_19:

m.vk.com и m.ok.ru пускает?

m.vk.com - блокировался,
m.ok.ru - не блокировался, добавил себе

Тут все зависит от того, используются одни и те же IP или разные…

https facebook?

блокируются все порты, включая 443.

у меня 443 открыт, думал обойтись вбить те сайты что хочу запретить, а не вбивать те сайты что хочу разрешить по 443.
список добил, подожду
немного подождал, вк отсекается фильром, 443 вк отсекается правилом, на данный момент фейсбук и твиттер открываются, руру фейсбук отсекается фильтром
жду дальше)

1.JPG_thumb

2.JPG_thumb

werter

2 Yuri4

Зачем Вы исп. 32-х битную маску в адресах ?

Список сетей, к-ые необходимо закрывать :

ВК

http://bgp.he.net/search?search%5Bsearch%5D=vkontakte&commit=Search

ОК

http://bgp.he.net/search?search%5Bsearch%5D=odnoklassniki&commit=Search

Далее, что с анонимайзерами ?

P.s. Поищите на форуме рецепт с закрытием социалок, анонимайзеров etc. путем исп. squid + фильтрации защищенного трафика + blacklists

Yuri4

32 автоматом днслукап проставил, на данный момент вк и остальное блокируется хорошо, кроме фейсбук и твиттера…
анонимайзеры и порно и оч многое закрыто блеклистом в фильтре, + в фильтре от меня дописаны сайты , блеклист www.shallalist.de