соц сети

PbIXTOP

@KripDen:

Приветствую всех экспертов, вообщем то вопрос, извиняюсь если тема уже была, как заблокировать или перенаправить соц сети vk.com, ok.ru без помощи squid.
Попробовал сделать так Services: DNS forwarder не помогло

Если вы используете pfSense 2.3+ то по умолчанию там импользуется Ubound
Незабывайте, что у пользователей не должна быть возможности использовать сторонние DNS.
У меня прекрасно отрабатывають определения вида

address=/vk.com/vkontakte.ru/0.0.0.0

A Former User

@PbIXTOP:

@KripDen:

Приветствую всех экспертов, вообщем то вопрос, извиняюсь если тема уже была, как заблокировать или перенаправить соц сети vk.com, ok.ru без помощи squid.
Попробовал сделать так Services: DNS forwarder не помогло

Если вы используете pfSense 2.3+ то по умолчанию там импользуется Ubound
Незабывайте, что у пользователей не должна быть возможности использовать сторонние DNS.
У меня прекрасно отрабатывають определения вида

address=/vk.com/vkontakte.ru/0.0.0.0

А моно с этого места поподробнее как заблокировать все это дело?

KripDen

Хотя нет все работает, System > Advanced on the Firewall/NAT tab (Aliases Hostnames Resolve Interval) уменьшил интервал, видимо не дождался
Тогда добьём вопрос, как таким же примерно методом сделать перенаправление с vk.com на скажем mydomain.ru

pigbrother

А моно с этого места поподробнее как заблокировать все это дело?

Предположу, что в Services: DNS forwarder->Advanced
вписать
address=/vk.com/vkontakte.ru/0.0.0.0

В DNS Resolver тоже есть Advanced. Интересно, сработает ли это для Resolver?

PbIXTOP

@pigbrother:

В DNS Resolver тоже есть Advanced. Интересно, сработает ли это для Resolver?

Скорее всего сработает, но надо читать документацию на Ubound как там это реализуется.
@KripDen:

Хотя нет все работает, System > Advanced on the Firewall/NAT tab (Aliases Hostnames Resolve Interval) уменьшил интервал, видимо не дождался
Тогда добьём вопрос, как таким же примерно методом сделать перенаправление с vk.com на скажем mydomain.ru

Чтобы срабатывало сразу, надо перезапускать сервис DNS и очищать DNS кеш на клиентах - ipconfig /flushdns и браузере.
По поводу перенаправления — http - любой веб сервер, https - squid c ssl bump.

werter

2 borg

Action - reject

правильнее.

KripDen

@PbIXTOP:

@pigbrother:

В DNS Resolver тоже есть Advanced. Интересно, сработает ли это для Resolver?

Скорее всего сработает, но надо читать документацию на Ubound как там это реализуется.
@KripDen:

Хотя нет все работает, System > Advanced on the Firewall/NAT tab (Aliases Hostnames Resolve Interval) уменьшил интервал, видимо не дождался
Тогда добьём вопрос, как таким же примерно методом сделать перенаправление с vk.com на скажем mydomain.ru

Чтобы срабатывало сразу, надо перезапускать сервис DNS и очищать DNS кеш на клиентах - ipconfig /flushdns и браузере.
По поводу перенаправления — http - любой веб сервер, https - squid c ssl bump.

Сквид же не умеет блокировать https?
и еще по поводу блокировке определенных ip адресов для соц сетей, тоже только при помощи сквида?

PbIXTOP

@KripDen:

@PbIXTOP:

@pigbrother:

В DNS Resolver тоже есть Advanced. Интересно, сработает ли это для Resolver?

Скорее всего сработает, но надо читать документацию на Ubound как там это реализуется.
@KripDen:

Хотя нет все работает, System > Advanced on the Firewall/NAT tab (Aliases Hostnames Resolve Interval) уменьшил интервал, видимо не дождался
Тогда добьём вопрос, как таким же примерно методом сделать перенаправление с vk.com на скажем mydomain.ru

Чтобы срабатывало сразу, надо перезапускать сервис DNS и очищать DNS кеш на клиентах - ipconfig /flushdns и браузере.
По поводу перенаправления — http - любой веб сервер, https - squid c ssl bump.

Сквид же не умеет блокировать https?
и еще по поводу блокировке определенных ip адресов для соц сетей, тоже только при помощи сквида?

По поводу squid — он умеет блокировать https в pfsense в двух случаях
1 Когда он в режиме MITM прозрачного прокси- может блокировать по URL, соответственно вам необходимо прописывать корневой сертификат для SSL bump
2 когда вы на клиентах принудительно указываете его — варианта тогда тоже 2: как в первом случае тогда тоже требуется ssl bump, или просто будет работать блокировка по домену.
Третьего режима PEEK-and-SPLICE насколько я понимаю нам в pfSense не завезли - он позволяет прозрачно проксировать https трафик и при необходимости блокировать его по домену.
По поводу блокировок определенных IP проходящих через squid - я их просто туда не заворачиваю. в настройках прокси на эти хосты стоит bypass и обычное правило на файрволе для блокировки.

Karollo

Вот была тема по поводу блокировки соц сетей. С помощью Layer7. https://forum.pfsense.org/index.php?topic=86007.0

pigbrother

Layer7 практически не работал в 2.2.х, а в 2.3.х удален из системы вообще.