Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Запрет HTTPS трафика

    Scheduled Pinned Locked Moved Russian
    15 Posts 7 Posters 2.1k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • werterW
      werter
      last edited by

      Волшебной галки "Сделать все зашибись" ? Не, не встречал. Может Вам повезет.

      1 Reply Last reply Reply Quote 0
      • O
        OutPut
        last edited by

        @werter:

        Волшебной галки "Сделать все зашибись" ? Не, не встречал. Может Вам повезет.

        ;D Да я понял о чем Вы. просто когда ты только начал работать с pfsense и все для тебя ново и не знакомо хочется вариант по проще. Если не трудно подскажите как реализовать метод ЗАПРЕЩЕНО ВСЕ КРОМЕ РАЗРЕЩЕННОГО в pfsense?

        1 Reply Last reply Reply Quote 0
        • werterW
          werter
          last edited by

          Доброе.
          @oleg1969:

          x  IPv4 TCP    LAN net    *    *    443 (HTTPS)    *    none

          Вы так всего Интернета лишитесь  :D

          1 Reply Last reply Reply Quote 0
          • werterW
            werter
            last edited by

            @OutPut:

            как реализовать метод ЗАПРЕЩЕНО ВСЕ КРОМЕ РАЗРЕЩЕННОГО в pfsense?

            Создайте алиас с нужными вам сайтами (сайт может быть с www и без www - добавлять оба).
            После - создавайте правило fw на LAN, где в Src - lan net, а в Dest - алиас. Порты в Dest - tcp 80 и 443.
            Поставьте вышесоздан. правило выше всех.

            Явно запрещать все остальное не нужно - пф блокирует по-умолч. все, что ЯВНО не разрешено.

            Настроите и показывайте скрины того, что настраивали.

            1 Reply Last reply Reply Quote 0
            • P
              pigbrother
              last edited by

              @werter:

              @OutPut:

              как реализовать метод ЗАПРЕЩЕНО ВСЕ КРОМЕ РАЗРЕЩЕННОГО в pfsense?

              Создайте алиас с нужными вам сайтами (сайт может быть с www и без www - добавлять оба).
              После - создавайте правило fw на LAN, где в Src - lan net, а в Dest - алиас. Порты в Dest - tcp 80 и 443.
              Поставьте вышесоздан. правило выше всех.

              Явно запрещать все остальное не нужно - пф блокирует по-умолч. все, что ЯВНО не разрешено.

              Настроите и выкл. скрины того, что настраивали.

              Если имеются в виду алиасы типа URL, то это работать не будет.
              pfSense такие алиасы  использует для других, мало кому нужных, целей:

              Enter as many URLs as desired. After saving, the URLs will be downloaded and the items imported into the alias. Use only with small sets of IP addresses (less than 3000)..

              1 Reply Last reply Reply Quote 0
              • dragoangelD
                dragoangel
                last edited by

                Зачем постить такой треш? Объясни зачем тебе нужно лочить https? Есть куча сайтов который работые работают HSTS - только в режиме HTTPS - они отвечают по http насильным редиректом на https и больше на http ничего нет. Если ты просто хочешь порезать доступ к какому то 1 ресурсу по IP то проще всего сделать это через pfBlocker NG в котором на основе whois домена или ASN залочить тот или иной ресурс, а не лочить весь интернет…

                Latest stable pfSense on 2x XG-7100 and 1x Intel Xeon Server, running mutiWAN, he.net IPv6, pfBlockerNG-devel, HAProxy-devel, Syslog-ng, Zabbix-agent, OpenVPN, IPsec site-to-site, DNS-over-TLS...
                Unifi AP-AC-LR with EAP RADIUS, US-24

                1 Reply Last reply Reply Quote 0
                • S
                  smils
                  last edited by

                  Блочить выборочно https можно squid + squidguard.
                  В последних версиях нормально работает.
                  от pfblokerNG отказался. не прозрачно, много памяти нужно. сложно отловить ложные срабатывания.

                  1 Reply Last reply Reply Quote 0
                  • D
                    doctor109
                    last edited by

                    Достаешь ip адреса с подсетями твоего ресурса, создаешь на них алиас и правило с ним на запрет хождения трафика из локальной сети.

                    Кстати, в запрещающем правиле в Action выбирай не block, а Reject. В этом случае ресурсы использующий заблокированный контент, открываться будут в разы быстрее.

                    1 Reply Last reply Reply Quote 0
                    • S
                      Scodezan
                      last edited by

                      Напимер алиас типа network(s) добавляешь туда

                      login.vk.com
                      vk.com
                      m.vk.com
                      pp.userapi.com

                      1 Reply Last reply Reply Quote 0
                      • P
                        pigbrother
                        last edited by

                        @Scodezan:

                        Напимер алиас типа network(s) добавляешь туда

                        login.vk.com
                        vk.com
                        m.vk.com
                        pp.userapi.com

                        Хм. А вот это интересно. Кстати к имени (FQDN) нужно добавить маску /32:
                        Hostnames (FQDNs) may also be specified, using a /32 mask for IPv4.
                        Scodezan, вы лично пробовали создавать такие алиасы? Блокировка по ни работает?
                        upd.
                        маску /32 pfSense добавляет сам

                        1 Reply Last reply Reply Quote 0
                        • S
                          Scodezan
                          last edited by

                          Да. Юзаю больше года, в основном на разрешающих правилах.

                          1 Reply Last reply Reply Quote 0
                          • werterW
                            werter
                            last edited by

                            Доброе.

                            http://bgp.he.net/search?search[search]=vkontakte
                            http://bgp.he.net/search?search[search]=odnoklassniki

                            Агрегировать (https://ip-calculator.ru/aggregate/)
                            Запрещающее правило в пф - Reject , не Block.

                            1 Reply Last reply Reply Quote 0
                            • First post
                              Last post
                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.