Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Запрет HTTPS трафика

    Scheduled Pinned Locked Moved Russian
    15 Posts 7 Posters 2.1k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • O
      OutPut
      last edited by

      Могли бы вы мне подсказать как запретить заходить на сайты по https. Если прописать http://vk.com то все отлично, pfsense выдает что доступ запрещен а вот если написать https://vk.com то можно зайти на любой сайт. как это исправить????

      1 Reply Last reply Reply Quote 0
      • werterW
        werter
        last edited by

        Доброе.
        Можно с помощью Domain override. Но нужно завернуть весь dns трафик клиентов на пф. Чтобы они не могли использовать др. днс, кроме пф.

        1 Reply Last reply Reply Quote 0
        • O
          OutPut
          last edited by

          @werter:

          Доброе.
          Можно с помощью Domain override. Но нужно завернуть весь dns трафик клиентов на пф. Чтобы они не могли использовать др. днс, кроме пф.

          А в самом pfsense нет возможности как то это реализовать? имеется ввиду где нибудь в настройках

          1 Reply Last reply Reply Quote 0
          • werterW
            werter
            last edited by

            Волшебной галки "Сделать все зашибись" ? Не, не встречал. Может Вам повезет.

            1 Reply Last reply Reply Quote 0
            • O
              OutPut
              last edited by

              @werter:

              Волшебной галки "Сделать все зашибись" ? Не, не встречал. Может Вам повезет.

              ;D Да я понял о чем Вы. просто когда ты только начал работать с pfsense и все для тебя ново и не знакомо хочется вариант по проще. Если не трудно подскажите как реализовать метод ЗАПРЕЩЕНО ВСЕ КРОМЕ РАЗРЕЩЕННОГО в pfsense?

              1 Reply Last reply Reply Quote 0
              • werterW
                werter
                last edited by

                Доброе.
                @oleg1969:

                x  IPv4 TCP    LAN net    *    *    443 (HTTPS)    *    none

                Вы так всего Интернета лишитесь  :D

                1 Reply Last reply Reply Quote 0
                • werterW
                  werter
                  last edited by

                  @OutPut:

                  как реализовать метод ЗАПРЕЩЕНО ВСЕ КРОМЕ РАЗРЕЩЕННОГО в pfsense?

                  Создайте алиас с нужными вам сайтами (сайт может быть с www и без www - добавлять оба).
                  После - создавайте правило fw на LAN, где в Src - lan net, а в Dest - алиас. Порты в Dest - tcp 80 и 443.
                  Поставьте вышесоздан. правило выше всех.

                  Явно запрещать все остальное не нужно - пф блокирует по-умолч. все, что ЯВНО не разрешено.

                  Настроите и показывайте скрины того, что настраивали.

                  1 Reply Last reply Reply Quote 0
                  • P
                    pigbrother
                    last edited by

                    @werter:

                    @OutPut:

                    как реализовать метод ЗАПРЕЩЕНО ВСЕ КРОМЕ РАЗРЕЩЕННОГО в pfsense?

                    Создайте алиас с нужными вам сайтами (сайт может быть с www и без www - добавлять оба).
                    После - создавайте правило fw на LAN, где в Src - lan net, а в Dest - алиас. Порты в Dest - tcp 80 и 443.
                    Поставьте вышесоздан. правило выше всех.

                    Явно запрещать все остальное не нужно - пф блокирует по-умолч. все, что ЯВНО не разрешено.

                    Настроите и выкл. скрины того, что настраивали.

                    Если имеются в виду алиасы типа URL, то это работать не будет.
                    pfSense такие алиасы  использует для других, мало кому нужных, целей:

                    Enter as many URLs as desired. After saving, the URLs will be downloaded and the items imported into the alias. Use only with small sets of IP addresses (less than 3000)..

                    1 Reply Last reply Reply Quote 0
                    • dragoangelD
                      dragoangel
                      last edited by

                      Зачем постить такой треш? Объясни зачем тебе нужно лочить https? Есть куча сайтов который работые работают HSTS - только в режиме HTTPS - они отвечают по http насильным редиректом на https и больше на http ничего нет. Если ты просто хочешь порезать доступ к какому то 1 ресурсу по IP то проще всего сделать это через pfBlocker NG в котором на основе whois домена или ASN залочить тот или иной ресурс, а не лочить весь интернет…

                      Latest stable pfSense on 2x XG-7100 and 1x Intel Xeon Server, running mutiWAN, he.net IPv6, pfBlockerNG-devel, HAProxy-devel, Syslog-ng, Zabbix-agent, OpenVPN, IPsec site-to-site, DNS-over-TLS...
                      Unifi AP-AC-LR with EAP RADIUS, US-24

                      1 Reply Last reply Reply Quote 0
                      • S
                        smils
                        last edited by

                        Блочить выборочно https можно squid + squidguard.
                        В последних версиях нормально работает.
                        от pfblokerNG отказался. не прозрачно, много памяти нужно. сложно отловить ложные срабатывания.

                        1 Reply Last reply Reply Quote 0
                        • D
                          doctor109
                          last edited by

                          Достаешь ip адреса с подсетями твоего ресурса, создаешь на них алиас и правило с ним на запрет хождения трафика из локальной сети.

                          Кстати, в запрещающем правиле в Action выбирай не block, а Reject. В этом случае ресурсы использующий заблокированный контент, открываться будут в разы быстрее.

                          1 Reply Last reply Reply Quote 0
                          • S
                            Scodezan
                            last edited by

                            Напимер алиас типа network(s) добавляешь туда

                            login.vk.com
                            vk.com
                            m.vk.com
                            pp.userapi.com

                            1 Reply Last reply Reply Quote 0
                            • P
                              pigbrother
                              last edited by

                              @Scodezan:

                              Напимер алиас типа network(s) добавляешь туда

                              login.vk.com
                              vk.com
                              m.vk.com
                              pp.userapi.com

                              Хм. А вот это интересно. Кстати к имени (FQDN) нужно добавить маску /32:
                              Hostnames (FQDNs) may also be specified, using a /32 mask for IPv4.
                              Scodezan, вы лично пробовали создавать такие алиасы? Блокировка по ни работает?
                              upd.
                              маску /32 pfSense добавляет сам

                              1 Reply Last reply Reply Quote 0
                              • S
                                Scodezan
                                last edited by

                                Да. Юзаю больше года, в основном на разрешающих правилах.

                                1 Reply Last reply Reply Quote 0
                                • werterW
                                  werter
                                  last edited by

                                  Доброе.

                                  http://bgp.he.net/search?search[search]=vkontakte
                                  http://bgp.he.net/search?search[search]=odnoklassniki

                                  Агрегировать (https://ip-calculator.ru/aggregate/)
                                  Запрещающее правило в пф - Reject , не Block.

                                  1 Reply Last reply Reply Quote 0
                                  • First post
                                    Last post
                                  Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.