Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Alias URL Table

    Scheduled Pinned Locked Moved Russian
    22 Posts 5 Posters 2.2k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • K
      Konstanti @lucas1
      last edited by Konstanti

      @lucas1 Если у Вас стоит задача отфильтровывать трафик по доменному имени , то надо использовать прокси или более хитрые технологии , умеющие "копаться" в содержимом IP,TCP/UDP пакета .

      В чем состоит задача ?

      1 Reply Last reply Reply Quote 0
      • L
        lucas1
        last edited by

        есть необходимость отключить доступ на некоторые сайты в Интернете. О каких более хитрых технологиях вы писали?

        K 1 Reply Last reply Reply Quote 0
        • K
          Konstanti @lucas1
          last edited by Konstanti

          @lucas1 Доброе утро
          Отключить по ip или по доменному имени ????
          Желательна конкретика , хотя бы для примера ( реальном примере )

          1 Reply Last reply Reply Quote 0
          • L
            lucas1
            last edited by

            По доменному имени. Например facebook.com, vk.com, twitter.com и т.д.

            K 1 Reply Last reply Reply Quote 0
            • K
              Konstanti @lucas1
              last edited by

              @lucas1
              Рассмотрите squid

              1 Reply Last reply Reply Quote 0
              • K
                Konstanti
                last edited by Konstanti

                @oleg1969
                А если IP "плавающий" ?
                Например , для paypal.com всякий раз разные IP возвращает DNS сервер
                Я бы тут блокировал все на уровне DNS запроса
                c 3-х разных хостов пинг paypal.ru
                64 bytes from 23.12.80.69: icmp_seq=0 ttl=55 time=18.652 ms
                64 bytes from 23.12.80.69: icmp_seq=1 ttl=55 time=18.532 ms

                64 bytes from 23.200.145.66: icmp_seq=0 ttl=58 time=54.327 ms
                64 bytes from 23.200.145.66: icmp_seq=1 ttl=58 time=55.026 ms
                64 bytes from 23.200.145.66: icmp_seq=2 ttl=58 time=54.514 ms

                64 bytes from a23-37-170-170.deploy.static.akamaitechnologies.com (23.37.170.170): icmp_seq=1 ttl=59 time=5.77 ms
                64 bytes from a23-37-170-170.deploy.static.akamaitechnologies.com (23.37.170.170): icmp_seq=2 ttl=59 time=5.48 ms

                P 1 Reply Last reply Reply Quote 0
                • P
                  PbIXTOP @Konstanti
                  last edited by PbIXTOP

                  @oleg1969 said in Alias URL Table:

                  @konstanti said in Alias URL Table:

                  @oleg1969
                  А если IP "плавающий" ?

                  Ну тогда pfBlockerNG!

                  Только не надо забывать, что необходимо будет заблокировать все альтернативные способы ресолва DNS записей.

                  1 Reply Last reply Reply Quote 0
                  • L
                    lucas1
                    last edited by

                    Да покв без Squid. Насчет плавающего IP. Т.е. FQDN в Firewall\Aliases\ разрешаются при старте PfSense,потом кешируются, а не при каждом обращении к правилу? А списки FQDN pfBlockerNG работают по другому?

                    K 1 Reply Last reply Reply Quote 0
                    • K
                      Konstanti @lucas1
                      last edited by

                      @lucas1
                      По поводу "плавающего" ip - для того чтобы отловить такое , нужно по ip получать имя хоста , и тогда уже проверять , совпадет - не совпадет. Думаю , что PF такое не умеет .
                      Полагаю , что PFBlocker работает с DNS запросами и уже по ним анализирует свои списки доступа .

                      werterW 1 Reply Last reply Reply Quote 0
                      • L
                        lucas1
                        last edited by

                        То, что paypal.ru отдает разные IP - это я полагаю опция round-robin DNS сервера.

                        Визуально списки FQDN Firewall\Aliases\ и pfBlockerNG ничем не отличаются. Я понимаю, что задача pfBlockerNG автоматически создать правило на основе конкретного списка, указанного в настройках pfBlockerNG. Т.е. либо вручную правило через списки FQDN Firewall\Aliases\ создавать, либо автоматически через pfBlockerNG. Вопрос в том, что непонятно как происходит разрешение конкретного FQDN в данном списке для данного правила, содержащего Alias. Т.е я хотел сказать если nslookup paypal.ru разрешается сейчас в 64.4.250.13 64.4.250.14 64.4.250.19 64.4.250.20,
                        то при наличии FQDN paypal.ru в алиасе в правиле, разрешение FQDN будет разовым или постоянным при обращении к правилу? Єто я на случай, если завтра nslookup paypal.ru будет разрешаться вообще в другие IP, а PfSense не перезагружался.

                        P 1 Reply Last reply Reply Quote 0
                        • P
                          PbIXTOP @lucas1
                          last edited by PbIXTOP

                          @lucas1 said in Alias URL Table:

                          то при наличии FQDN paypal.ru в алиасе в правиле, разрешение FQDN будет разовым или постоянным при обращении к правилу? Єто я на случай, если завтра nslookup paypal.ru будет разрешаться вообще в другие IP, а PfSense не перезагружался.

                          Все зависит от настройки PfSense, где-то есть настройка с какой периодичностью ресолвятся домены из списков, System / Advanced / Firewall & NAT / Aliases Hostnames Resolve Interval 300 секунд

                          1 Reply Last reply Reply Quote 0
                          • L
                            lucas1
                            last edited by

                            Спасибо за ответ.

                            1 Reply Last reply Reply Quote 0
                            • werterW
                              werter @Konstanti
                              last edited by werter

                              @konstanti

                              По поводу "плавающего" ip - для того чтобы отловить такое , нужно по ip получать имя хоста , и тогда уже проверять , совпадет - не совпадет. Думаю , что PF такое не умеет .

                              Полагаю , что PFBlocker работает с DNS запросами и уже по ним анализирует свои списки доступа .

                              1. Заворачиваем все dns-запросы на пф https://docs.netgate.com/pfsense/en/latest/dns/redirecting-all-dns-requests-to-pfsense.html
                                Опционально:
                              2. Устанавливаем cron
                              3. Добавляем в cron */5 * * * * root /usr/bin/killall -9 filterdns ; /bin/sleep 5 ; /usr/local/sbin/filterdns -p /var/run/filterdns.pid -i 300 -c /var/etc/filterdns.conf -d 1

                              У меня без пп.2-3 неоперативно отрабатывалось разрешение имен в Сети для клиентов.

                              1 Reply Last reply Reply Quote 0
                              • P
                                PbIXTOP
                                last edited by

                                Как вариант, можно попробовать воспользоваться директивой ipset в dnsmasq — вроде как для pfSense он собирается с ней.

                                1 Reply Last reply Reply Quote 0
                                • First post
                                  Last post
                                Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.