Как заблокировать соцсети



  • Доброго дня, уважаемые Коллеги!
    Прошу Вашей помощи в решении задачи блокировки соцсетей всем пользователям ЛВС, кроме ряда избранных.
    Перед вопроса изучил соответствующие вопросу посты форума (в частности статью https://forum.pfsense.org/index.php?topic=58623.0). Описанный в статье способ не подошел, т.к. блокирует в т.ч. страницы со ссылками на соцсети. При блокировке squidguard получается блокировать только по http, вход по https продолжает работать.
    В итоге сделал так: Снес squid guard, а самому squid оставил только задачи проксирования. Nat отключил. Далее создал два алиаса: allow_ok - в него внес список ip-адресов пользователей, которым в соцсети доступ разрешен. social_net - в него внес перечень соцсетей, к которым доступ закрывается vk.com, vkontakte.com, ok.ru, odnoklassniki.ru, odnoklasniki.ru.
    Далее настроил файрвол, в котором первым правилом открыл доступ к соцсетям,указанным в алиасе social_net, пользователям, адреса которых перечислены в алиасе allow_ok.
    После этого создал второе правило, в котором закрыл доступ всем к соцсетям, указаным в алиасе social_net.
    Частично цель достигнута, блокируется и по http, и по https. Но блокируется для всех, в т.ч. и для тех кому можно. Когда правило, блокирующее соцсети, отключаю-снова начинает работать, но у всех.
    Получается не работает первое правило, разрешающее доступ.
    В чем может быть причина?



  • День добрый. Вот такой же работой сейчас занимаюсь… и по тем же страницам ходим с вами))) можно попросить сделать скрины каким образом в алиасы вносить ip адреса пользователей...



  • В чем может быть причина?
    логика правильная должно работать, наверняка где то ошибка. (покажи правила
    (ресет стате , а лучше перезагрузку делал?



  • АААА… уже сил нет))) Простите что влез в чужой топик. Сегодня весь день бьюсь с блокировкой соцсетей для всех, кроме определённых пользователей... с переменным успехом. Вот что есть:

    Host ресурсы для блокировки

    Правило блокировки этих ресурсов

    список ip адресов которым РАЗРЕШЕНО ходить везде

    правило которое разрешает этим пользователем обходить все ограничения

    чередование правил

    Подскажите где что поправить? А может абсолютно всё неверное?

    p.s. ещё раз прошу прощения за то что здесь это опубликовал.



  • unkind, в том правиле, которым запрещаешь в разделе source, ставь галку invert match, а правее алиас soc_true.
    Размести правило выше разрешающих.

    А специальное разрешающее правило для VIP-ов тебе не нужно.



  • Scodezan! Спасибо огромное! Заработало!!!



  • Всем привет!
    Делал как ты показал на скриншотах, за исключением что я это делал для всех и у меня нету ВИП людей, но все равно не работает,

    1. создаю Алиасы https://yadi.sk/i/7zZVEQc0wLTuL
    2. пописываю правило https://yadi.sk/i/TcNd1Zn8wLUBW
    3. расположение правил https://yadi.sk/i/2Aa6k1LBwLUFa

    Дайте подсказку где торможу(
    Заранее большое спасибо!



  • попробуй галку invert match убрать…

    Ещё с проблемой столкнулся... этих ip-шников у VK.com - тьма!!! Ужас как много. В Diagnostic - Tables смотрю... Там есть VK-шные ip адреса, но не все. Они с какой периодичностью обновляются? Или можно как-то целиком определённый диапазон добавить?



  • @nvm:

    Всем привет!
    Делал как ты показал на скриншотах, за исключением что я это делал для всех и у меня нету ВИП людей, но все равно не работает,

    1. создаю Алиасы https://yadi.sk/i/7zZVEQc0wLTuL
    2. пописываю правило https://yadi.sk/i/TcNd1Zn8wLUBW
    3. расположение правил https://yadi.sk/i/2Aa6k1LBwLUFa

    Дайте подсказку где торможу(
    Заранее большое спасибо!

    squidguard выключен? (удален), само правило применили, Apply Changes-Monitor-Reload filter нажимали пробовали



  • у себя закрыл, вроде ничего лишнего не перекрыл.
    vk.com  87.240.128.0/18
    twitr odki Facebook 
    104.244.40.0/21, 31.13.73.0/24, 5.61.23.0/24, 31.13.72.0/24



  • @NegoroX:

    у себя закрыл, вроде ничего лишнего не перекрыл.
    vk.com  87.240.128.0/18
    twitr odki Facebook 
    104.244.40.0/21, 31.13.73.0/24, 5.61.23.0/24, 31.13.72.0/24

    Не всё
    ВК - http://bgp.he.net/search?search[search]=VKontakte&commit=Search
    Там же - всё остальное.

    Плюс не забывайте про анонимайзеры.



  • хороший списочек возьмем на заметку.



  • Доброго дня. уважаемые коллеги.
    Только получилось ответит и предоставить скриншоты, прошу прощения ранее не было воможности.
    NegoroX, я пробовал резет стате, и ребут. Также пробовал менять местами. Результат тот же - либо всем нельзя, либо всем можно. Вот алиасы и првила
















  • Удалите эти правила из флоатинг. Настройте их просто на ЛАН, поставив выше всех.

    Зы.

    For employers who can use

    если уж на то пошло и хотите блеснуть "знаниями" (или не блеснуть)



  • werter, пробовал так-не помогло, длявсех не блокируется. Попробовал как советовал Scodezan для unkind, не помогло тоже, все соцсети открыты. Вот скрины






  • А что бы все это работало squidguard должен быть выключен?
    Они вместе не могут работать?

    PS и что такое Monitor-Reload filter  (где это делать-смотреть?)

    @Guf-Rolex-X:

    @nvm:

    Всем привет!
    Делал как ты показал на скриншотах, за исключением что я это делал для всех и у меня нету ВИП людей, но все равно не работает,

    1. создаю Алиасы https://yadi.sk/i/7zZVEQc0wLTuL
    2. пописываю правило https://yadi.sk/i/TcNd1Zn8wLUBW
    3. расположение правил https://yadi.sk/i/2Aa6k1LBwLUFa

    Дайте подсказку где торможу(
    Заранее большое спасибо!

    squidguard выключен? (удален), само правило применили, Apply Changes-Monitor-Reload filter нажимали пробовали



  • Нашел причину того что ранее испробованные мной варианты не помогали блокировать соцсети. Причина - squid. Нашел путем включения отладки и просмотра пакетов от тех кому нельзя. От них вообще не было пакетов напрямую на соцсети, все было на прокси а уже прокси сам шел куда надо и ему можно и, соответственно, брандмауэр ничего не блокировал. Отключил squid и заработал вариант от Scodezan.
    Вопрос - можно ли реализовать блокировку соцсетей при включенном squid?



  • Для блокировки также использовал Squid + SquidGuard, но учитывая, что эта связка не фильтрует HTTPS, а большинство соцсетей работаю именно так, то правила в файлворе вполне их фильтруют. Тут также зависит от того, какие запросы идут на прокси: все (HTTP, HTTPS), или только HTTP. В моем случае только HTTP, остальное напрямую - тут то и работают правила файрвола.