Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Блокировка соцсетей

    Scheduled Pinned Locked Moved Russian
    25 Posts 4 Posters 1.9k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • А
      Александр
      last edited by

      Благодарю)

      1 Reply Last reply Reply Quote 0
      • werterW
        werter
        last edited by werter

        @Александр said in Блокировка соцсетей:

        Или сквид в новых версиях прям без лишних телодвижений умеет блокировать https?

        В новых версиях сквид УМЕЕТ (и в прозрачном режиме) резать httpS без установки сертификатов пол-лям.

        Зы. BIND для вашего ТЗ излишен. Это как из пушки по воробьям.

        1 Reply Last reply Reply Quote 0
        • B
          blackWolf
          last edited by blackWolf

          @Александр said in Блокировка соцсетей:
          Или сквид в новых версиях прям без лишних телодвижений умеет блокировать https?

          Умеет конечно резать https .(через одно место)
          Но не совсем правильно и без лишних телодвижений не обойтись (стоит ожидать не открытия некоторых сайтов тормоза итд и без пляски с бубном не обойтись)

          можно конечно поиграть с pfBlockerNG или E2guardian(пародия на Squid) но тормоза(иногда даже не открытие страниц будут присутствовать) и придется плясать☺
          По этому для корпоративной среды лучше исползовать
          чистый Firewall или стрелять из пушки по воробьям с помощью BIND

          K 1 Reply Last reply Reply Quote 1
          • K
            Konstanti @blackWolf
            last edited by

            @blackWolf
            Ваш путь для решения этой задачи верен , но до тех пор пока серверов не станет очень много, и DNS ответы будут постоянно меняться, и TTL не станет равным , например , 1 минуте.
            Тогда содержимое Вашей таблицы не будет не совпадать с тем , что получит пользователь в DNS ответе. И пользователь сможет установить соединение с сервером .
            Это не касается варианта с Соцсетями на данный момент времени
            Но попробуйте , например , ввести несколько раз команду ( с интервалом 1 минута)
            nslookup netflix.com

            Каждый раз ответы будут разными ( какие-то хосты будут совпадать , но и новых ip адресов будет появляться достаточно много)

            B 1 Reply Last reply Reply Quote 0
            • B
              blackWolf @Konstanti
              last edited by blackWolf

              @Konstanti
              Блокировать что либо не простая задача ,даже Федералы не всё могут
              По этому довольствуемся тем что есть

              1 Reply Last reply Reply Quote 0
              • А
                Александр
                last edited by

                Блин. сколько инфы. все. ставлю новый PFsense/
                Еще раз благодарю всех кто откликнулся))))
                Почитал про BIND по ссылке blackWolf
                разбираться и разбираться. Мощная штука)))

                B 1 Reply Last reply Reply Quote 0
                • B
                  blackWolf @Александр
                  last edited by blackWolf

                  @Александр

                  Еще одна ссылка про Bind
                  Продвинутые настройки

                  Перевод я думаю не нужен☺

                  https://lexxai.blogspot.com/2019/01/pfsense-owerwrite-dns-records-on-bind.html
                  https://www.escbackslash.com/network-security/dns-server/page-2/

                  1 Reply Last reply Reply Quote 0
                  • А
                    Александр
                    last edited by

                    Спасибо Большущее ребят))))

                    1 Reply Last reply Reply Quote 0
                    • B
                      blackWolf
                      last edited by

                      В дополнение к предедущим постам

                      Если используете DNS resolver можно попробовать Domain Overrides для блокировки

                      Это конечно не панацея но часто прокатывает

                      000.jpg

                      Ну и конечно нужно завернуть весь ДНС-трафик на лок. адрес пф.
                      Как в моем первом посте

                      1 Reply Last reply Reply Quote 0
                      • werterW
                        werter
                        last edited by werter

                        @Александр
                        В правилах fw для блокировки соцсетей (СС) пользуйте Reject, а не Drop. Иначе сайты, к-ые содержат ссылки на CC будут открываться оч. долго.

                        1 Reply Last reply Reply Quote 0
                        • А
                          Александр
                          last edited by

                          Спасибо. учту))))))

                          1 Reply Last reply Reply Quote 0
                          • First post
                            Last post
                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.