Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Блокировка социальных сетей по https

    Scheduled Pinned Locked Moved Russian
    9 Posts 4 Posters 5.1k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • L
      LehaMechanic
      last edited by

      Добрый день. Я новичок в администрирвании pfSense, прошу у вас совета. Мне надо заблокировать доступ к социальным сетям, но почему-то везде натыкаюсь на упоминания, что блокировать сайты с протоколом https либо невозможно, либо очень трудно, либо осуществляется через тридевятые грабли.
      Лазил по интернету и нашел вот такой метод (не реклама, а для дела) loclay.livejournal.com/35529.html

      Как на ваш взгляд, имеет право на жизнь такой метод? Или есть какие-либо серьезные изъяны?

      1 Reply Last reply Reply Quote 0
      • P
        PbIXTOP
        last edited by

        Изъяны есть всегда. И при полной блокировке по IP и при подмене DNS записей.
        Знакомый в свое время сделал проще — он ограничил скорость до всех соц.сетей и видеохостингов, запихав их всех в одну трубу в 64к.
        Это позволило многим не пытаться искать анонимайзеры.  А попытки найти анонимайзер при полной блокировке это нормальное явление, у меня например список из доменов анонимайзеров уже на 7кбайт, а некоторые до сих пор не успокоятся.

        1 Reply Last reply Reply Quote 0
        • L
          LehaMechanic
          last edited by

          Знакомый в свое время сделал проще — он ограничил скорость

          К сожалению, я ограничен в выборе. Приказ начальства вполне конкретный - заблокировать и всё.

          Изъяны есть всегда.

          Ну а конкретно данный метод (через Ferewall rules и aliases) какие имеет минусы?

          1 Reply Last reply Reply Quote 0
          • P
            PbIXTOP
            last edited by

            @LehaMechanic:

            Ну а конкретно данный метод (через Ferewall rules и aliases) какие имеет минусы?

            Сам по себе он минусов не имеет. Но не спасает от использования анонимайзеров, для них вам все равно придется поставить squid или подобное. Самое действенное, но требует поддержки руководства, просто вычитать из зарплаты социальный трафик.

            Сам лично использую — прозрачный squid и собственные списки для осуществления DNS hijacking.

            Кстати списка из IPv4 уже маловато будет, необходимо добавлять и IPv6 сети на всякий случай.
            У меня список соц.сетей примерно такой, уже и не помню какие ip кому принадлежат, но собирал через ripe.

               5.61.16.0/21
   87.240.128.0/18
   93.186.224.0/21
   93.186.232.0/21
   95.142.192.0/20
   95.142.200.0/21
   95.213.0.0/18
   185.16.244.0/23
   185.16.246.0/24
   185.16.247.0/24
   185.32.248.0/22
   193.0.170.0/23
   217.20.144.0/20
   2a00:b4c0::/64
   2a00:b4c0::/48
   2a00:b4c0::/32
   2a00:b4c0:0:1::/64
   2a00:b4c0:0:2::/64
   2a00:b4c1::/64
   2a00:b4c1::/48
   2a00:b4c1::/32
   2a00:b4c2::/32
   2a00:b4c3::/64
   2a00:b4c3::/48
   2a00:b4c3::/32
   2a00:bdc0::/36
   2a00:bdc0:e002::/48
   2a00:bdc0:e003::/48
   2a00:bdc0:e004::/48
   2a00:bdc0:e005::/48
   2a00:bdc0:e006::/48
   2a00:bdc0:e007::/48
   2a00:bdc0:f000::/36
            1 Reply Last reply Reply Quote 0
            • N
              NegoroX
              last edited by

              Ну а конкретно данный метод (через Ferewall rules и aliases) какие имеет минусы?

              в большинстве случаев нормально рулит.

              1 Reply Last reply Reply Quote 0
              • L
                LehaMechanic
                last edited by

                Спасибо за ответ, пожалуй меня устраивает такой подход.

                Но не спасает от использования анонимайзеров, для них вам все равно придется поставить squid или подобное. Самое действенное, но требует поддержки руководства, просто вычитать из зарплаты социальный трафик.

                У меня нет задачи объявлять войну всему коллективу, мне за это премию не дадут. Сообразят использовать анонимайзер - ну и молодцы. У нас не так уж много машин, 10мбит канал они не смогут положить своими контактиками. Но и приказ руководства необходимо выполнять, или как минимум создать убедительную видимость.

                1 Reply Last reply Reply Quote 0
                • P
                  PbIXTOP
                  last edited by

                  @LehaMechanic:

                  Спасибо за ответ, пожалуй меня устраивает такой подход.

                  Но не спасает от использования анонимайзеров, для них вам все равно придется поставить squid или подобное. Самое действенное, но требует поддержки руководства, просто вычитать из зарплаты социальный трафик.

                  У меня нет задачи объявлять войну всему коллективу, мне за это премию не дадут. Сообразят использовать анонимайзер - ну и молодцы. У нас не так уж много машин, 10мбит канал они не смогут положить своими контактиками. Но и приказ руководства необходимо выполнять, или как минимум создать убедительную видимость.

                  Вы им еще подскажите, что есть турбо режимы от Yandex, Opera, Google.

                  1 Reply Last reply Reply Quote 0
                  • werterW
                    werter
                    last edited by

                    @LehaMechanic:

                    Добрый день. Я новичок в администрирвании pfSense, прошу у вас совета. Мне надо заблокировать доступ к социальным сетям, но почему-то везде натыкаюсь на упоминания, что блокировать сайты с протоколом https либо невозможно, либо очень трудно, либо осуществляется через тридевятые грабли.
                    Лазил по интернету и нашел вот такой метод (не реклама, а для дела) loclay.livejournal.com/35529.html

                    Как на ваш взгляд, имеет право на жизнь такой метод? Или есть какие-либо серьезные изъяны?

                    На форуме есть ветка по блокировке рекламы с пом. dnsmasq.
                    Поищите. Там только подменить на список соцсетей прийдется.

                    1 Reply Last reply Reply Quote 0
                    • L
                      LehaMechanic
                      last edited by

                      @PbIXTOP:

                      Вы им еще подскажите, что есть турбо режимы от Yandex, Opera, Google.

                      Кстати, турбо режим Оперы не помогает почему-то. Другие не проверял.

                      1 Reply Last reply Reply Quote 0
                      • First post
                        Last post
                      Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.