Блокировка соцсетей

Александр · Mar 11, 2020, 11:37 AM

Благодарю. буду пробовать. мануал бы еще годный какой нить)))))))

blackWolf · Mar 11, 2020, 11:51 AM

@Александр
Насчёт BIND

Вот пример (сайты выбраны только для проверки на условия блокировки

Александр · Mar 11, 2020, 11:44 AM

BIND - это новый инструмент в новых версиях? Работает?
в старом его не было

blackWolf · Mar 11, 2020, 11:48 AM

Дополнительный пакет (был и в старых версиях)

Просто надо установить

Александр · Mar 11, 2020, 11:49 AM

Значит пропустил. Спасибо. буду пробовать.

blackWolf · Mar 11, 2020, 12:00 PM

@Александр

Одна из ссылок о BIND

https://www.raffaelechiatto.com/installazione-e-configurazione-di-bind-dns-su-pfsense/

Александр · Mar 11, 2020, 12:05 PM

Благодарю)

werter · Mar 11, 2020, 1:54 PM

@Александр said in Блокировка соцсетей:

Или сквид в новых версиях прям без лишних телодвижений умеет блокировать https?

В новых версиях сквид УМЕЕТ (и в прозрачном режиме) резать httpS без установки сертификатов пол-лям.

Зы. BIND для вашего ТЗ излишен. Это как из пушки по воробьям.

blackWolf · Mar 11, 2020, 2:26 PM

@Александр said in Блокировка соцсетей:
Или сквид в новых версиях прям без лишних телодвижений умеет блокировать https?

Умеет конечно резать https .(через одно место)
Но не совсем правильно и без лишних телодвижений не обойтись (стоит ожидать не открытия некоторых сайтов тормоза итд и без пляски с бубном не обойтись)

можно конечно поиграть с pfBlockerNG или E2guardian(пародия на Squid) но тормоза(иногда даже не открытие страниц будут присутствовать) и придется плясать
По этому для корпоративной среды лучше исползовать
чистый Firewall или стрелять из пушки по воробьям с помощью BIND

Konstanti · Mar 11, 2020, 3:20 PM

@blackWolf
Ваш путь для решения этой задачи верен , но до тех пор пока серверов не станет очень много, и DNS ответы будут постоянно меняться, и TTL не станет равным , например , 1 минуте.
Тогда содержимое Вашей таблицы не будет не совпадать с тем , что получит пользователь в DNS ответе. И пользователь сможет установить соединение с сервером .
Это не касается варианта с Соцсетями на данный момент времени
Но попробуйте , например , ввести несколько раз команду ( с интервалом 1 минута)
nslookup netflix.com

Каждый раз ответы будут разными ( какие-то хосты будут совпадать , но и новых ip адресов будет появляться достаточно много)

blackWolf · Mar 11, 2020, 3:29 PM

@Konstanti
Блокировать что либо не простая задача ,даже Федералы не всё могут
По этому довольствуемся тем что есть

Александр · Mar 11, 2020, 3:40 PM

Блин. сколько инфы. все. ставлю новый PFsense/
Еще раз благодарю всех кто откликнулся))))
Почитал про BIND по ссылке blackWolf
разбираться и разбираться. Мощная штука)))

blackWolf · Mar 11, 2020, 4:19 PM

@Александр

Еще одна ссылка про Bind
Продвинутые настройки

Перевод я думаю не нужен

https://lexxai.blogspot.com/2019/01/pfsense-owerwrite-dns-records-on-bind.html
https://www.escbackslash.com/network-security/dns-server/page-2/

Александр · Mar 11, 2020, 4:30 PM

Спасибо Большущее ребят))))

blackWolf · Mar 12, 2020, 8:26 AM

В дополнение к предедущим постам

Если используете DNS resolver можно попробовать Domain Overrides для блокировки

Это конечно не панацея но часто прокатывает

Ну и конечно нужно завернуть весь ДНС-трафик на лок. адрес пф.
Как в моем первом посте

werter · Mar 12, 2020, 5:34 PM

@Александр
В правилах fw для блокировки соцсетей (СС) пользуйте Reject, а не Drop. Иначе сайты, к-ые содержат ссылки на CC будут открываться оч. долго.

Александр · Mar 13, 2020, 2:51 AM

Спасибо. учту))))))