Очередной вопрос по фильтрации HTTPS в squid
-
pfSense это и есть фаервол. Прокси это не только блокировка сайтов, но в первую очередь безопасность и мониторинг. Можно на уровне dns или в hosts прописать неугодные сайты и сопоставить им 127.0.0.1, но это детский сад. На выходных если все будет спокойно подыму на стенде и напишу вам инструкцию в картинках
-
pfSense это и есть фаервол. Прокси это не только блокировка сайтов, но в первую очередь безопасность и мониторинг. Можно на уровне dns или в hosts прописать неугодные сайты и сопоставить им 127.0.0.1, но это детский сад. На выходных если все будет спокойно подыму на стенде и напишу вам инструкцию в картинках
Если использовать SquidGuard будет работать по вашему способу?
-
pfSense это и есть фаервол. Прокси это не только блокировка сайтов, но в первую очередь безопасность и мониторинг. Можно на уровне dns или в hosts прописать неугодные сайты и сопоставить им 127.0.0.1, но это детский сад. На выходных если все будет спокойно подыму на стенде и напишу вам инструкцию в картинках
Если использовать SquidGuard будет работать по вашему способу?
Это не "мой способ". Должен.
-
Это не "мой способ". Должен.
Так то оно так. Но по вашему фильтруем https без галки фильтровать https.
глаз задергался от такой казуистики.
так что это ваш способ. -
Нет никакой казуистики. Флаг относится к разделу "SSL Man In the Middle Filtering", а не к фильтрации https как таковой.
-
pfSense это и есть фаервол. Прокси это не только блокировка сайтов, но в первую очередь безопасность и мониторинг. Можно на уровне dns или в hosts прописать неугодные сайты и сопоставить им 127.0.0.1, но это детский сад. На выходных если все будет спокойно подыму на стенде и напишу вам инструкцию в картинках
Было бы здорово. Но я, кстати, всё-таки сделал. Только wpad всё же вынес на сторонний сэрвэр. Поставил бубунту 16ю на виртуалку, вкрутил на нее lighttpd и три файла wpad.dat, wpad.da и proxy.pac затолкал в /var/www/html. А на пфсенсе в резолвере указал в хост оверрайдах wpad- ip бубунты. И всё взлетело и летает. Пока никаких подводных камней не вылезало, может быть и будут. Работает на клиенте win7 и даже на левой зверьхр, где я не нашел службы автоопределения прокси.
Единственное, что не получилось пока, то это чтобы сквидгвард переадресовывал блокированные ресурсы на какую-нибудь оскорбительную надпись или страничку с ошибкой. при блокировании у клиента выскакивает в хроме:
Не удается получить доступ к сайту
Веб-страница по адресу https://www.facebook.com/, возможно, временно недоступна или постоянно перемещена по новому адресу.
ERR_TUNNEL_CONNECTION_FAILEDВ принципе блокирует, да и ладно. Хотелось бы, конечно, чтобы покрасивше было.
-
а как такой вариант вам?
https://forum.it-monkey.net/index.php?topic=22.0
https://turbofuture.com/internet/How-to-Configure-pfBlocker-An-IP-Block-List-and-Country-Block-Package-for-pfSense
https://www.tecmint.com/install-configure-pfblockerng-dns-black-listing-in-pfsense/ -
а как такой вариант вам?
https://forum.it-monkey.net/index.php?topic=22.0
https://turbofuture.com/internet/How-to-Configure-pfBlocker-An-IP-Block-List-and-Country-Block-Package-for-pfSense
https://www.tecmint.com/install-configure-pfblockerng-dns-black-listing-in-pfsense/Да, я видал способы блокировки через этот пфблокер. Меня почему-то это напугало. Сегодня посвободнее буду- попробую, потом отпишусь
-
а как такой вариант вам?
Спасибо, очень интересно, работает. Настроил по первому руководству. Что пока не понял- это:
- как развести по группам (ну, например отделу рекламы надо соцсети, а бухам не надо).
- Потом что делать, если днс сервером сам пф не является.
Если сориентируете -буду очень благодарен.
-
Добрый.
- Потом что делать, если днс сервером сам пф не является.
Не страшно. Заверните все днс-запросы во вне на адрес пф правилами Port forwarding на ЛАН. И тогда неважно от кого они будут.
