Как заблокировать соцсети
-
Доброго дня, уважаемые Коллеги!
Прошу Вашей помощи в решении задачи блокировки соцсетей всем пользователям ЛВС, кроме ряда избранных.
Перед вопроса изучил соответствующие вопросу посты форума (в частности статью https://forum.pfsense.org/index.php?topic=58623.0). Описанный в статье способ не подошел, т.к. блокирует в т.ч. страницы со ссылками на соцсети. При блокировке squidguard получается блокировать только по http, вход по https продолжает работать.
В итоге сделал так: Снес squid guard, а самому squid оставил только задачи проксирования. Nat отключил. Далее создал два алиаса: allow_ok - в него внес список ip-адресов пользователей, которым в соцсети доступ разрешен. social_net - в него внес перечень соцсетей, к которым доступ закрывается vk.com, vkontakte.com, ok.ru, odnoklassniki.ru, odnoklasniki.ru.
Далее настроил файрвол, в котором первым правилом открыл доступ к соцсетям,указанным в алиасе social_net, пользователям, адреса которых перечислены в алиасе allow_ok.
После этого создал второе правило, в котором закрыл доступ всем к соцсетям, указаным в алиасе social_net.
Частично цель достигнута, блокируется и по http, и по https. Но блокируется для всех, в т.ч. и для тех кому можно. Когда правило, блокирующее соцсети, отключаю-снова начинает работать, но у всех.
Получается не работает первое правило, разрешающее доступ.
В чем может быть причина? -
День добрый. Вот такой же работой сейчас занимаюсь… и по тем же страницам ходим с вами))) можно попросить сделать скрины каким образом в алиасы вносить ip адреса пользователей...
-
В чем может быть причина?
логика правильная должно работать, наверняка где то ошибка. (покажи правила
(ресет стате , а лучше перезагрузку делал? -
АААА… уже сил нет))) Простите что влез в чужой топик. Сегодня весь день бьюсь с блокировкой соцсетей для всех, кроме определённых пользователей... с переменным успехом. Вот что есть:
Host ресурсы для блокировки
Правило блокировки этих ресурсов
список ip адресов которым РАЗРЕШЕНО ходить везде
правило которое разрешает этим пользователем обходить все ограничения
чередование правил
Подскажите где что поправить? А может абсолютно всё неверное?
p.s. ещё раз прошу прощения за то что здесь это опубликовал.
-
unkind, в том правиле, которым запрещаешь в разделе source, ставь галку invert match, а правее алиас soc_true.
Размести правило выше разрешающих.А специальное разрешающее правило для VIP-ов тебе не нужно.
-
Scodezan! Спасибо огромное! Заработало!!!
-
Всем привет!
Делал как ты показал на скриншотах, за исключением что я это делал для всех и у меня нету ВИП людей, но все равно не работает,- создаю Алиасы https://yadi.sk/i/7zZVEQc0wLTuL
- пописываю правило https://yadi.sk/i/TcNd1Zn8wLUBW
- расположение правил https://yadi.sk/i/2Aa6k1LBwLUFa
Дайте подсказку где торможу(
Заранее большое спасибо! -
попробуй галку invert match убрать…
Ещё с проблемой столкнулся... этих ip-шников у VK.com - тьма!!! Ужас как много. В Diagnostic - Tables смотрю... Там есть VK-шные ip адреса, но не все. Они с какой периодичностью обновляются? Или можно как-то целиком определённый диапазон добавить?
-
@nvm:
Всем привет!
Делал как ты показал на скриншотах, за исключением что я это делал для всех и у меня нету ВИП людей, но все равно не работает,- создаю Алиасы https://yadi.sk/i/7zZVEQc0wLTuL
- пописываю правило https://yadi.sk/i/TcNd1Zn8wLUBW
- расположение правил https://yadi.sk/i/2Aa6k1LBwLUFa
Дайте подсказку где торможу(
Заранее большое спасибо!squidguard выключен? (удален), само правило применили, Apply Changes-Monitor-Reload filter нажимали пробовали
-
у себя закрыл, вроде ничего лишнего не перекрыл.
vk.com 87.240.128.0/18
twitr odki Facebook
104.244.40.0/21, 31.13.73.0/24, 5.61.23.0/24, 31.13.72.0/24 -
у себя закрыл, вроде ничего лишнего не перекрыл.
vk.com 87.240.128.0/18
twitr odki Facebook
104.244.40.0/21, 31.13.73.0/24, 5.61.23.0/24, 31.13.72.0/24Не всё
ВК - http://bgp.he.net/search?search%5Bsearch%5D=VKontakte&commit=Search
Там же - всё остальное.Плюс не забывайте про анонимайзеры.
-
хороший списочек возьмем на заметку.
-
Доброго дня. уважаемые коллеги.
Только получилось ответит и предоставить скриншоты, прошу прощения ранее не было воможности.
NegoroX, я пробовал резет стате, и ребут. Также пробовал менять местами. Результат тот же - либо всем нельзя, либо всем можно. Вот алиасы и првила
-
Удалите эти правила из флоатинг. Настройте их просто на ЛАН, поставив выше всех.
Зы.
For employers who can use …
если уж на то пошло и хотите блеснуть "знаниями" (или не блеснуть)
-
werter, пробовал так-не помогло, длявсех не блокируется. Попробовал как советовал Scodezan для unkind, не помогло тоже, все соцсети открыты. Вот скрины
-
А что бы все это работало squidguard должен быть выключен?
Они вместе не могут работать?PS и что такое Monitor-Reload filter (где это делать-смотреть?)
@nvm:
Всем привет!
Делал как ты показал на скриншотах, за исключением что я это делал для всех и у меня нету ВИП людей, но все равно не работает,- создаю Алиасы https://yadi.sk/i/7zZVEQc0wLTuL
- пописываю правило https://yadi.sk/i/TcNd1Zn8wLUBW
- расположение правил https://yadi.sk/i/2Aa6k1LBwLUFa
Дайте подсказку где торможу(
Заранее большое спасибо!squidguard выключен? (удален), само правило применили, Apply Changes-Monitor-Reload filter нажимали пробовали
-
Нашел причину того что ранее испробованные мной варианты не помогали блокировать соцсети. Причина - squid. Нашел путем включения отладки и просмотра пакетов от тех кому нельзя. От них вообще не было пакетов напрямую на соцсети, все было на прокси а уже прокси сам шел куда надо и ему можно и, соответственно, брандмауэр ничего не блокировал. Отключил squid и заработал вариант от Scodezan.
Вопрос - можно ли реализовать блокировку соцсетей при включенном squid? -
Для блокировки также использовал Squid + SquidGuard, но учитывая, что эта связка не фильтрует HTTPS, а большинство соцсетей работаю именно так, то правила в файлворе вполне их фильтруют. Тут также зависит от того, какие запросы идут на прокси: все (HTTP, HTTPS), или только HTTP. В моем случае только HTTP, остальное напрямую - тут то и работают правила файрвола.
