webfilter numa rede com pfsense 2.4.5,

mcury

Boa tarde

Bloquear IOT é mais difícil, eu já tive sucesso com alguns tweaks, mas nunca ficou perfeito pois dependendo do fabricante e versão do equipamento, ele faz uma conexão a um site para testar a Internet e costuma aparecer "No internet" lá no simbolo do Wifi.

E também não dá para filtrar os sites por DNS pois equipamentos Android por exemplo, mesmo você distribuindo o servidor DNS por DHCP, eles insistem em usar o DNS do Google.
Quanto a IOT da Apple, eu não testei.

Eu também nunca usei o e2guardian, sempre usei Squid e Squidguard, pois gosto de manter meu sistema sempre atualizado, e pacotes não oficiais as vezes atrapalham isso.
Mas aí é da sua preferência e infelizmente como não tenho experiência com esse aplicativo, eu não posso ajuda-lo.

Eu recomendo Squid/SquidGuard, modo de proxy transparente, e com SPLICE all lá no Squid.
Observe através dos LOGS do Squidguard quais Sites o IOT tenta acessar para confirmar se o acesso a Internet está funcionando, e faça bypass desses sites.

Eu usava isso em casa, e foi dor de cabeça pois até versões diferentes do Android fazem essa "checagem" de acesso a Internet em sites diferentes.

E dependendo de alguma atualização no Celular ou Tablet, você provavelmente terá que atualizar essa lista de bypass.

Edit: Além disso, tem algumas "novidades" que tem atrapalhado como DOH (DNS over HTTPS), e o QUIC, que podem bypassar ai a sua tentativa de filtrar.

DaddyGo

@mcury
Boa tarde,

Eu basicamente concordo contigo - usa o Squid + SquidGuard

as "novidades" podem ser manipuladas, por exemplo:
(Android é um animal separado)

pfBlockerNG DoH list: https://heuristicsecurity.com/dohservers.txt
Quick protocol: (naturalmente implementado no pfSense): https://kb.fortinet.com/kb/documentLink.do?externalID=FD46676

alexnuluis

Boa tarde

Vou seguir o vosso conselho e experimentar o Squid + SquidGuard

Obrigado

DaddyGo

@alexnuluis
Bom dia

isso ainda pode ser útil
https://forum.netgate.com/topic/100342/guide-to-filtering-web-content-http-and-https-with-pfsense-2-3

mcury

Nesse tutorial, eles usam WPAD, os IOT em sua grande parte não funcionam com arquivo PAC ou com proxy explícito.
Por isso, desde o início, falei para usar o proxy com modo transparente, e também com SPLICE ALL.
Splice ALL é para não haver necessidade de distribuir certificados, uma vez que você tb não vai conseguir fazer isso com os IOT...

Em relação ao QUIC, simplesmente bloqueie a porta UDP 443.
Em relação ao DOH, não se preocupe pois você estará bloqueando não as solicitações de DNS, mas sim diretamente no cabeçalho HTTP.

DOH seria caso você estivesse usando o pfBlocker dnsbl para o fim de fazer o filtro.

DaddyGo

@mcury

como também escrevi apenas como material suplementar, de uma maneira interessante, não como uma solução para o problema atual do OP

DoH = pfBlockerNG -devel (eu também já escrevi isso!)
Eu acho que o Quick também é claro

mcury

@DaddyGo Entendo que você tenta ajudar, não foi uma crítica.
É sim um bom material para leitura, mas não se aplica a IOT.

DaddyGo

@mcury
Eu concordo

mcury

@DaddyGo :)

tomaswaldow

use o e2guardian sem fazer a interceptação ssl, vai fazer bloqueio por URI (dominio)