Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    pfSense за шлюзом, как заблокировать https

    Scheduled Pinned Locked Moved Russian
    20 Posts 5 Posters 2.2k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • N
      nubik
      last edited by

      тут есть прикол в том что вин сервер купить мне не позволит руководство-в том плане что оно уже есть у того админа. типа а тебе накой? мне уже завернули развертывание собственного AD.
      А лочить я думаю например с 1 по 28 число а 29 и 30 пусть качает ставит и т.д.
      Это все равно не спасает от голыхбритни.ехе которые прилетают через корпоративную почту (это кстатии след. тема как в моей ситуации фильтровать это. это вообще возможно ?) многие запускают-несмотря на мои рекомендации скидывать такое мне на почту и самим не открывать. Тут еще пару клячь на ХП - а там дыр...и офицально не поддерживается. Но что делать-оно в составе оборудования. Пока не сдохнет-будет работать.
      Варианты бежать с этой работы не рассматриваются. Ибо некуда-бежать только за кордон ибо тупизм нашего народа уже надоел(вот недавно делал патент, через электронный сервис - до сих пор бомбит как все это работает).

      dragoangelD 1 Reply Last reply Reply Quote 0
      • dragoangelD
        dragoangel @nubik
        last edited by dragoangel

        @nubik это уже оффтоп. кто говорит купить или развернуть еще один ad?) Просто тебе как админу офиса должны делегировать права на ОU твоего офиса в ихней AD, и GPO. Если не дают то это уже не твои задачи, пусть бух идет к админам выше. Вопрос снят.
        По почте тоже самое: какие письма и файлы принимать а какие нет: задача почтового сервера. Ставьте фильтры, антиспам и антивирус на почтовик. На конечных клиентах разве что антивирус и тот не спасет. Ладно ответ есть глуши тему. И пальчик в вверх не жалей)

        N 1 Reply Last reply Reply Quote 0
        • N
          nubik @dragoangel
          last edited by

          @dragoangel ответ в стиле это не мое-идите к админу. не про нас.
          Все же:
          Хочется банально зарезать исходящий трафик на определенные ресурсы(так чтоль обозвать это безобразие?).
          Каким инструментом лучше это сделать?

          Порекомендуйте и я отстану :) Заранее благодарю.

          1 Reply Last reply Reply Quote 0
          • dragoangelD
            dragoangel
            last edited by dragoangel

            1. Я ж сказал: dns блокировки это к pfblocker ng. Настройка изи.
            2. Если не дают ресурсов/прав/доступа на корректное решение задач и просят делать идиотские костыли то лучше не делать нечего и пусть все плачут пока не дадут нормально все настроить, чем страдать идиотизмом. Это мое личное мнение. Если сверху админы безрукие иди к их начальству, и пусть те их либо заставляют работать или выдать тебе права - главное обьяснить почему тебе нужны эти права и что не работает. В большинстве случаев тебе просто дадут нужный уровень доступа. Так работает мир.
            1 Reply Last reply Reply Quote 0
            • dragoangelD
              dragoangel
              last edited by dragoangel

              Капец фейспалм(. А по твоему Aliace NATIVE это что как не список ip к которому ты потом можешь обращаться для дальнейшего использования и который сам нику не всавлен... Например на основе whois резолвить IP...
              Во вторых UNBOUND может все. И если что pfblocker просто инклудит свой конфиг в unbound вот так и лочит днс...
              https://nlnetlabs.nl/documentation/unbound/
              Давай учись) больше помочь нечем

              1 Reply Last reply Reply Quote 0
              • dragoangelD
                dragoangel
                last edited by dragoangel

                This post is deleted!
                1 Reply Last reply Reply Quote 0
                • dragoangelD
                  dragoangel
                  last edited by dragoangel

                  @oleg1969 госпаде, ток что прочитал ваш пост полностью (и не понял че вы докопались), ну вы и наркоман сударь. Сами закопипастили цытату и читали ЖОПОЙ:
                  так и делать динамические правила или алиасы (списки ip) которые вы можете использовать в правилах файрвола как вам угодно.

                  Кто вообще говорит о том что возможно сделать такое как вы просите? Я говорю об IP, а не об dns. Читайте внимательно и не перекручивайте. Блокировики по dns не возможно завайтлистить - их можно просто проигнорировать используя другой днс. И по умолчанию эти блокировки держатся на чистом слове. dns over 853 tls, dns over 443 https. И все. Блочте по ip а не резолвингу dns, если так. тогда и обойти не получится (без впн) и гибко настроить правило для whitelisting одного клиента.
                  П.С. я не слова не сказал о том какой я спец и что я кого-то умнее, у вас явно проблемы с фантазией.

                  1 Reply Last reply Reply Quote 0
                  • dragoangelD
                    dragoangel
                    last edited by dragoangel

                    @oleg1969 вы влезли в чужой топик, пишите бред не вникая в тему топика и в сами коментарии в нем, еще й капсите на пол страницы. Если четырехзначное число в вашем нике это год рождения - то думаю вы взрослый дядька, а ведете себя вообще неадекватно. Аяяй. Банхамера на вас нет, но зато черный список - есть.
                    @oleg1969 said in pfSense за шлюзом, как заблокировать https:

                    Еще раз внимательно прочтите мой первый пост там как раз для тех кто читает именно ЖОПОЙ писалась про ЛАН а не блокировку DNS

                    Unbound это и есть DNS сервер, а DNSBL это и есть блокировка DNS.
                    P.S. : которым за 49рок в DHCP можно выдать статику и к ней сделать кастомный DNS для определеного МАС адреса. Дайте своему шефу другой DNS, а лучше другого админа.
                    На этом базар окончен, на сщастье я больше не увижу вас на этом чудесном ресурсе. Создайте свой топик и задавайте вопросы в нем если вам вообще кто то такому хаму захочет помогать.

                    1 Reply Last reply Reply Quote 0
                    • N
                      nubik
                      last edited by

                      @oleg1969 , а какой инструмент вы порекомендовали бы мне в моей ситуации?
                      Я совершенно не против вашего спора-в споре рождается истина, если морду никто никому не набьет. Но не захотели истину рождать. Вполне хорошую ситуацию привели-как сделать исключение из правил для одного хоста. Мало ли, директору или серверу WSUS пусть идут обновления....

                      1 Reply Last reply Reply Quote 0
                      • K
                        Konstanti
                        last edited by Konstanti

                        @oleg1969 добрый вечер
                        Если не секрет, как должно выглядеть по-вашему такое правило?
                        Я тут поразмышлял, есть теоретическая возможность посылать dns запросы, минуя этот pfblocker, напрямую через pfsense

                        P 1 Reply Last reply Reply Quote 0
                        • P
                          PbIXTOP @Konstanti
                          last edited by

                          @Konstanti Лично я поднимал несколько экземпляров dnsmasq и просто натил запросы в них от определенных клиентов. Такое решение позволяло оставлять возможность работы локального ресолва.

                          1 Reply Last reply Reply Quote 0
                          • werterW
                            werter
                            last edited by werter

                            Доброго.

                            Работает исключение по IP для Unbound. Не без танцев, но работает.
                            https://forum.netgate.com/topic/129365/bypassing-dnsbl-for-specific-ips/

                            Помнить, что:

                            Please note, if you do an update, disable and re-enable DNSBL that line will be modified again back to the standard entry. You will need to check each time and remove any leading "server:" to ensure your expected behavior works as expected.

                            Я решил просто в DHCP Server LAN / DHCP Static Mappings for this Interface для конкретной машины (допустим 192.168.1.16) указал другой DNS допустим 8.8.4.4

                            У меня по dhcp в кач-ве dns клиентам раздаются ip-адреса контроллеров домена. И все dns-запросы завернуты на pf. Выдачей клиенту чего-то отличного от адресов контроллеров домена я лишаю его возможности разрешать внутренние доменные имена. Ваша схема работать не будет.

                            K 1 Reply Last reply Reply Quote 0
                            • K
                              Konstanti @werter
                              last edited by Konstanti

                              @werter Доброго вечера
                              Даже если заворачивать все DNS запросы на pf , есть лазейка как это обойти
                              Конечно , не в лоб это решается , но , вполне решаемо . Другое дело , нужно это или нет

                              werterW 1 Reply Last reply Reply Quote 0
                              • werterW
                                werter @Konstanti
                                last edited by

                                @Konstanti
                                Например, DOH linuxincluded.com/bypass-dns-controls-with-dns-over-https-no-bootstrap-required

                                1 Reply Last reply Reply Quote 0
                                • werterW
                                  werter
                                  last edited by werter

                                  @oleg1969

                                  У меня этого нет dns-запросы не завернуты поэтому и работает

                                  У вас и домена-то нет )

                                  1 Reply Last reply Reply Quote 0
                                  • First post
                                    Last post
                                  Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.