pfSense за шлюзом, как заблокировать https
-
Ну во первых лочить сервера обновлений MS это грех - без обнов прийдет новый Петя и даст вам по щам. Обновы нужны, и их можно отложить. Для контроля установки обновлений есть WSUS, а не лочиние ресурсов MS
-
тут есть прикол в том что вин сервер купить мне не позволит руководство-в том плане что оно уже есть у того админа. типа а тебе накой? мне уже завернули развертывание собственного AD.
А лочить я думаю например с 1 по 28 число а 29 и 30 пусть качает ставит и т.д.
Это все равно не спасает от голыхбритни.ехе которые прилетают через корпоративную почту (это кстатии след. тема как в моей ситуации фильтровать это. это вообще возможно ?) многие запускают-несмотря на мои рекомендации скидывать такое мне на почту и самим не открывать. Тут еще пару клячь на ХП - а там дыр...и офицально не поддерживается. Но что делать-оно в составе оборудования. Пока не сдохнет-будет работать.
Варианты бежать с этой работы не рассматриваются. Ибо некуда-бежать только за кордон ибо тупизм нашего народа уже надоел(вот недавно делал патент, через электронный сервис - до сих пор бомбит как все это работает). -
@nubik это уже оффтоп. кто говорит купить или развернуть еще один ad?) Просто тебе как админу офиса должны делегировать права на ОU твоего офиса в ихней AD, и GPO. Если не дают то это уже не твои задачи, пусть бух идет к админам выше. Вопрос снят.
По почте тоже самое: какие письма и файлы принимать а какие нет: задача почтового сервера. Ставьте фильтры, антиспам и антивирус на почтовик. На конечных клиентах разве что антивирус и тот не спасет. Ладно ответ есть глуши тему. И пальчик в вверх не жалей) -
@dragoangel ответ в стиле это не мое-идите к админу. не про нас.
Все же:
Хочется банально зарезать исходящий трафик на определенные ресурсы(так чтоль обозвать это безобразие?).
Каким инструментом лучше это сделать?Порекомендуйте и я отстану :) Заранее благодарю.
-
- Я ж сказал: dns блокировки это к pfblocker ng. Настройка изи.
- Если не дают ресурсов/прав/доступа на корректное решение задач и просят делать идиотские костыли то лучше не делать нечего и пусть все плачут пока не дадут нормально все настроить, чем страдать идиотизмом. Это мое личное мнение. Если сверху админы безрукие иди к их начальству, и пусть те их либо заставляют работать или выдать тебе права - главное обьяснить почему тебе нужны эти права и что не работает. В большинстве случаев тебе просто дадут нужный уровень доступа. Так работает мир.
-
Капец фейспалм(. А по твоему Aliace NATIVE это что как не список ip к которому ты потом можешь обращаться для дальнейшего использования и который сам нику не всавлен... Например на основе whois резолвить IP...
Во вторых UNBOUND может все. И если что pfblocker просто инклудит свой конфиг в unbound вот так и лочит днс...
https://nlnetlabs.nl/documentation/unbound/
Давай учись) больше помочь нечем -
This post is deleted! -
@oleg1969 госпаде, ток что прочитал ваш пост полностью (и не понял че вы докопались), ну вы и наркоман сударь. Сами закопипастили цытату и читали ЖОПОЙ:
так и делать динамические правила или алиасы (списки ip) которые вы можете использовать в правилах файрвола как вам угодно.Кто вообще говорит о том что возможно сделать такое как вы просите? Я говорю об IP, а не об dns. Читайте внимательно и не перекручивайте. Блокировики по dns не возможно завайтлистить - их можно просто проигнорировать используя другой днс. И по умолчанию эти блокировки держатся на чистом слове. dns over 853 tls, dns over 443 https. И все. Блочте по ip а не резолвингу dns, если так. тогда и обойти не получится (без впн) и гибко настроить правило для whitelisting одного клиента.
П.С. я не слова не сказал о том какой я спец и что я кого-то умнее, у вас явно проблемы с фантазией. -
@oleg1969 вы влезли в чужой топик, пишите бред не вникая в тему топика и в сами коментарии в нем, еще й капсите на пол страницы. Если четырехзначное число в вашем нике это год рождения - то думаю вы взрослый дядька, а ведете себя вообще неадекватно. Аяяй. Банхамера на вас нет, но зато черный список - есть.
@oleg1969 said in pfSense за шлюзом, как заблокировать https:Еще раз внимательно прочтите мой первый пост там как раз для тех кто читает именно ЖОПОЙ писалась про ЛАН а не блокировку DNS
Unbound это и есть DNS сервер, а DNSBL это и есть блокировка DNS.
P.S. : которым за 49рок в DHCP можно выдать статику и к ней сделать кастомный DNS для определеного МАС адреса. Дайте своему шефу другой DNS, а лучше другого админа.
На этом базар окончен, на сщастье я больше не увижу вас на этом чудесном ресурсе. Создайте свой топик и задавайте вопросы в нем если вам вообще кто то такому хаму захочет помогать. -
@oleg1969 , а какой инструмент вы порекомендовали бы мне в моей ситуации?
Я совершенно не против вашего спора-в споре рождается истина, если морду никто никому не набьет. Но не захотели истину рождать. Вполне хорошую ситуацию привели-как сделать исключение из правил для одного хоста. Мало ли, директору или серверу WSUS пусть идут обновления.... -
@oleg1969 добрый вечер
Если не секрет, как должно выглядеть по-вашему такое правило?
Я тут поразмышлял, есть теоретическая возможность посылать dns запросы, минуя этот pfblocker, напрямую через pfsense -
@Konstanti Лично я поднимал несколько экземпляров dnsmasq и просто натил запросы в них от определенных клиентов. Такое решение позволяло оставлять возможность работы локального ресолва.
-
Доброго.
Работает исключение по IP для Unbound. Не без танцев, но работает.
https://forum.netgate.com/topic/129365/bypassing-dnsbl-for-specific-ips/Помнить, что:
Please note, if you do an update, disable and re-enable DNSBL that line will be modified again back to the standard entry. You will need to check each time and remove any leading "server:" to ensure your expected behavior works as expected.
Я решил просто в DHCP Server LAN / DHCP Static Mappings for this Interface для конкретной машины (допустим 192.168.1.16) указал другой DNS допустим 8.8.4.4
У меня по dhcp в кач-ве dns клиентам раздаются ip-адреса контроллеров домена. И все dns-запросы завернуты на pf. Выдачей клиенту чего-то отличного от адресов контроллеров домена я лишаю его возможности разрешать внутренние доменные имена. Ваша схема работать не будет.
-
@werter Доброго вечера
Даже если заворачивать все DNS запросы на pf , есть лазейка как это обойти
Конечно , не в лоб это решается , но , вполне решаемо . Другое дело , нужно это или нет -
@Konstanti
Например, DOH linuxincluded.com/bypass-dns-controls-with-dns-over-https-no-bootstrap-required -
@oleg1969
У меня этого нет dns-запросы не завернуты поэтому и работает
У вас и домена-то нет )