Блокировка соцсетей
-
BIND - это новый инструмент в новых версиях? Работает?
в старом его не было -
Дополнительный пакет (был и в старых версиях)
Просто надо установить
-
Значит пропустил. Спасибо. буду пробовать.
-
Одна из ссылок о BIND
https://www.raffaelechiatto.com/installazione-e-configurazione-di-bind-dns-su-pfsense/
-
Благодарю)
-
@Александр said in Блокировка соцсетей:
Или сквид в новых версиях прям без лишних телодвижений умеет блокировать https?
В новых версиях сквид УМЕЕТ (и в прозрачном режиме) резать httpS без установки сертификатов пол-лям.
Зы. BIND для вашего ТЗ излишен. Это как из пушки по воробьям.
-
@Александр said in Блокировка соцсетей:
Или сквид в новых версиях прям без лишних телодвижений умеет блокировать https?
Умеет конечно резать https .(через одно место)
Но не совсем правильно и без лишних телодвижений не обойтись (стоит ожидать не открытия некоторых сайтов тормоза итд и без пляски с бубном не обойтись)можно конечно поиграть с pfBlockerNG или E2guardian(пародия на Squid) но тормоза(иногда даже не открытие страниц будут присутствовать) и придется плясать
По этому для корпоративной среды лучше исползовать
чистый Firewall или стрелять из пушки по воробьям с помощью BIND -
@blackWolf
Ваш путь для решения этой задачи верен , но до тех пор пока серверов не станет очень много, и DNS ответы будут постоянно меняться, и TTL не станет равным , например , 1 минуте.
Тогда содержимое Вашей таблицы не будет не совпадать с тем , что получит пользователь в DNS ответе. И пользователь сможет установить соединение с сервером .
Это не касается варианта с Соцсетями на данный момент времени
Но попробуйте , например , ввести несколько раз команду ( с интервалом 1 минута)
nslookup netflix.comКаждый раз ответы будут разными ( какие-то хосты будут совпадать , но и новых ip адресов будет появляться достаточно много)
-
@Konstanti
Блокировать что либо не простая задача ,даже Федералы не всё могут
По этому довольствуемся тем что есть -
Блин. сколько инфы. все. ставлю новый PFsense/
Еще раз благодарю всех кто откликнулся))))
Почитал про BIND по ссылке blackWolf
разбираться и разбираться. Мощная штука))) -
Еще одна ссылка про Bind
Продвинутые настройкиПеревод я думаю не нужен
https://lexxai.blogspot.com/2019/01/pfsense-owerwrite-dns-records-on-bind.html
https://www.escbackslash.com/network-security/dns-server/page-2/ -
Спасибо Большущее ребят))))
-
В дополнение к предедущим постам
Если используете DNS resolver можно попробовать Domain Overrides для блокировки
Это конечно не панацея но часто прокатывает
Ну и конечно нужно завернуть весь ДНС-трафик на лок. адрес пф.
Как в моем первом посте -
@Александр
В правилах fw для блокировки соцсетей (СС) пользуйте Reject, а не Drop. Иначе сайты, к-ые содержат ссылки на CC будут открываться оч. долго. -
Спасибо. учту))))))