Блокировка соцсетей
-
@blackWolf
Здр
Это полумера , потому что в Вашу таблицу попадут только те ip адреса , которые возвращаются в DNS ответе . А если ip адресов потенциально больше ????Блокировать в таком случае надо на уровне DNS запросов ( опять же это не даст 100 % гарантии блокировки)
-
микротик таким методом автоматом вычисляет все ip vk и держит их актуальными. а в PF sense не знаю.
-
в PF примерно тоже самое и алиас тоже регулярно обновляется
и всё работает , ну если нужно что то из вон выходящего поставте BIND
создайте нужные зоны и будет счастье -
Благодарю. буду пробовать. мануал бы еще годный какой нить)))))))
-
@Александр
Насчёт BIND
Вот пример (сайты выбраны только для проверки на условия блокировки
-
BIND - это новый инструмент в новых версиях? Работает?
в старом его не было -
Дополнительный пакет (был и в старых версиях)
Просто надо установить
-
Значит пропустил. Спасибо. буду пробовать.
-
Одна из ссылок о BIND
https://www.raffaelechiatto.com/installazione-e-configurazione-di-bind-dns-su-pfsense/
-
Благодарю)
-
@Александр said in Блокировка соцсетей:
Или сквид в новых версиях прям без лишних телодвижений умеет блокировать https?
В новых версиях сквид УМЕЕТ (и в прозрачном режиме) резать httpS без установки сертификатов пол-лям.
Зы. BIND для вашего ТЗ излишен. Это как из пушки по воробьям.
-
@Александр said in Блокировка соцсетей:
Или сквид в новых версиях прям без лишних телодвижений умеет блокировать https?
Умеет конечно резать https .(через одно место)
Но не совсем правильно и без лишних телодвижений не обойтись (стоит ожидать не открытия некоторых сайтов тормоза итд и без пляски с бубном не обойтись)можно конечно поиграть с pfBlockerNG или E2guardian(пародия на Squid) но тормоза(иногда даже не открытие страниц будут присутствовать) и придется плясать
По этому для корпоративной среды лучше исползовать
чистый Firewall или стрелять из пушки по воробьям с помощью BIND -
@blackWolf
Ваш путь для решения этой задачи верен , но до тех пор пока серверов не станет очень много, и DNS ответы будут постоянно меняться, и TTL не станет равным , например , 1 минуте.
Тогда содержимое Вашей таблицы не будет не совпадать с тем , что получит пользователь в DNS ответе. И пользователь сможет установить соединение с сервером .
Это не касается варианта с Соцсетями на данный момент времени
Но попробуйте , например , ввести несколько раз команду ( с интервалом 1 минута)
nslookup netflix.comКаждый раз ответы будут разными ( какие-то хосты будут совпадать , но и новых ip адресов будет появляться достаточно много)
-
@Konstanti
Блокировать что либо не простая задача ,даже Федералы не всё могут
По этому довольствуемся тем что есть -
Блин. сколько инфы. все. ставлю новый PFsense/
Еще раз благодарю всех кто откликнулся))))
Почитал про BIND по ссылке blackWolf
разбираться и разбираться. Мощная штука))) -
Еще одна ссылка про Bind
Продвинутые настройкиПеревод я думаю не нужен
https://lexxai.blogspot.com/2019/01/pfsense-owerwrite-dns-records-on-bind.html
https://www.escbackslash.com/network-security/dns-server/page-2/ -
Спасибо Большущее ребят))))
-
В дополнение к предедущим постам
Если используете DNS resolver можно попробовать Domain Overrides для блокировки
Это конечно не панацея но часто прокатывает
Ну и конечно нужно завернуть весь ДНС-трафик на лок. адрес пф.
Как в моем первом посте -
@Александр
В правилах fw для блокировки соцсетей (СС) пользуйте Reject, а не Drop. Иначе сайты, к-ые содержат ссылки на CC будут открываться оч. долго. -
Спасибо. учту))))))
