Блокировка соцсетей

Александр

Благодарю. буду пробовать. мануал бы еще годный какой нить)))))))

blackWolf

@Александр
Насчёт BIND

Вот пример (сайты выбраны только для проверки на условия блокировки

Александр

BIND - это новый инструмент в новых версиях? Работает?
в старом его не было

blackWolf

Дополнительный пакет (был и в старых версиях)

Просто надо установить

Александр

Значит пропустил. Спасибо. буду пробовать.

blackWolf

@Александр

Одна из ссылок о BIND

https://www.raffaelechiatto.com/installazione-e-configurazione-di-bind-dns-su-pfsense/

Александр

Благодарю)

werter

@Александр said in Блокировка соцсетей:

Или сквид в новых версиях прям без лишних телодвижений умеет блокировать https?

В новых версиях сквид УМЕЕТ (и в прозрачном режиме) резать httpS без установки сертификатов пол-лям.

Зы. BIND для вашего ТЗ излишен. Это как из пушки по воробьям.

blackWolf

@Александр said in Блокировка соцсетей:
Или сквид в новых версиях прям без лишних телодвижений умеет блокировать https?

---

Умеет конечно резать https .(через одно место)
Но не совсем правильно и без лишних телодвижений не обойтись (стоит ожидать не открытия некоторых сайтов тормоза итд и без пляски с бубном не обойтись)

можно конечно поиграть с pfBlockerNG или E2guardian(пародия на Squid) но тормоза(иногда даже не открытие страниц будут присутствовать) и придется плясать
По этому для корпоративной среды лучше исползовать
чистый Firewall или стрелять из пушки по воробьям с помощью BIND

Konstanti

@blackWolf
Ваш путь для решения этой задачи верен , но до тех пор пока серверов не станет очень много, и DNS ответы будут постоянно меняться, и TTL не станет равным , например , 1 минуте.
Тогда содержимое Вашей таблицы не будет не совпадать с тем , что получит пользователь в DNS ответе. И пользователь сможет установить соединение с сервером .
Это не касается варианта с Соцсетями на данный момент времени
Но попробуйте , например , ввести несколько раз команду ( с интервалом 1 минута)
nslookup netflix.com

Каждый раз ответы будут разными ( какие-то хосты будут совпадать , но и новых ip адресов будет появляться достаточно много)

blackWolf

@Konstanti
Блокировать что либо не простая задача ,даже Федералы не всё могут
По этому довольствуемся тем что есть

Александр

Блин. сколько инфы. все. ставлю новый PFsense/
Еще раз благодарю всех кто откликнулся))))
Почитал про BIND по ссылке blackWolf
разбираться и разбираться. Мощная штука)))

blackWolf

@Александр

Еще одна ссылка про Bind
Продвинутые настройки

Перевод я думаю не нужен

https://lexxai.blogspot.com/2019/01/pfsense-owerwrite-dns-records-on-bind.html
https://www.escbackslash.com/network-security/dns-server/page-2/

Александр

Спасибо Большущее ребят))))

blackWolf

В дополнение к предедущим постам

Если используете DNS resolver можно попробовать Domain Overrides для блокировки

Это конечно не панацея но часто прокатывает

Ну и конечно нужно завернуть весь ДНС-трафик на лок. адрес пф.
Как в моем первом посте

werter

@Александр
В правилах fw для блокировки соцсетей (СС) пользуйте Reject, а не Drop. Иначе сайты, к-ые содержат ссылки на CC будут открываться оч. долго.

Александр

Спасибо. учту))))))