• Приветствую всех экспертов, вообщем то вопрос, извиняюсь если тема уже была, как заблокировать или перенаправить соц сети vk.com, ok.ru без помощи squid.
    Попробовал сделать так Services: DNS forwarder не помогло


  • Либо через alias либо по ip
    Firewall / Aliases / IP add
    name blocksites
    IP or FQDN
    vk.com vk
    add host
    ok.ru ok
    save

    Firewall / Rules / LAN add
    Action - block
    Address Family - ipv4+ipv6 (при условии что есть ipv6)
    Protocol - any
    Destination Single host or alias - blocksites
    save

    Если сайт недавно открывался в браузере то он вначале может загружаться. Попробовал открыть в другом браузере - ничего не грузится. Спустя некоторое время должно перестать грузиться. Возможно это связано с System > Advanced on the Firewall/NAT tab (Aliases Hostnames Resolve Interval)


  • не помогло


  • А правило добавили с алиасом?


  • @KripDen:

    Приветствую всех экспертов, вообщем то вопрос, извиняюсь если тема уже была, как заблокировать или перенаправить соц сети vk.com, ok.ru без помощи squid.
    Попробовал сделать так Services: DNS forwarder не помогло

    Если вы используете pfSense 2.3+ то по умолчанию там импользуется Ubound
    Незабывайте, что у пользователей не должна быть возможности использовать сторонние DNS.
    У меня прекрасно отрабатывають определения вида

    address=/vk.com/vkontakte.ru/0.0.0.0
    

  • @PbIXTOP:

    @KripDen:

    Приветствую всех экспертов, вообщем то вопрос, извиняюсь если тема уже была, как заблокировать или перенаправить соц сети vk.com, ok.ru без помощи squid.
    Попробовал сделать так Services: DNS forwarder не помогло

    Если вы используете pfSense 2.3+ то по умолчанию там импользуется Ubound
    Незабывайте, что у пользователей не должна быть возможности использовать сторонние DNS.
    У меня прекрасно отрабатывають определения вида

    address=/vk.com/vkontakte.ru/0.0.0.0
    

    А моно с этого места поподробнее как заблокировать все это дело?


  • Хотя нет все работает, System > Advanced on the Firewall/NAT tab (Aliases Hostnames Resolve Interval) уменьшил интервал, видимо не дождался
    Тогда добьём вопрос, как таким же примерно методом сделать перенаправление с vk.com на скажем mydomain.ru


  • А моно с этого места поподробнее как заблокировать все это дело?

    Предположу, что в Services: DNS forwarder->Advanced
    вписать
    address=/vk.com/vkontakte.ru/0.0.0.0

    В DNS Resolver тоже есть Advanced. Интересно, сработает ли это для Resolver?


  • @pigbrother:

    В DNS Resolver тоже есть Advanced. Интересно, сработает ли это для Resolver?

    Скорее всего сработает, но надо читать документацию на Ubound как там это реализуется.
    @KripDen:

    Хотя нет все работает, System > Advanced on the Firewall/NAT tab (Aliases Hostnames Resolve Interval) уменьшил интервал, видимо не дождался
    Тогда добьём вопрос, как таким же примерно методом сделать перенаправление с vk.com на скажем mydomain.ru

    Чтобы срабатывало сразу, надо перезапускать сервис DNS и очищать DNS кеш на клиентах - ipconfig /flushdns и браузере.
    По поводу перенаправления — http - любой веб сервер, https - squid c ssl bump.


  • 2 borg

    Action - reject

    правильнее.


  • @PbIXTOP:

    @pigbrother:

    В DNS Resolver тоже есть Advanced. Интересно, сработает ли это для Resolver?

    Скорее всего сработает, но надо читать документацию на Ubound как там это реализуется.
    @KripDen:

    Хотя нет все работает, System > Advanced on the Firewall/NAT tab (Aliases Hostnames Resolve Interval) уменьшил интервал, видимо не дождался
    Тогда добьём вопрос, как таким же примерно методом сделать перенаправление с vk.com на скажем mydomain.ru

    Чтобы срабатывало сразу, надо перезапускать сервис DNS и очищать DNS кеш на клиентах - ipconfig /flushdns и браузере.
    По поводу перенаправления — http - любой веб сервер, https - squid c ssl bump.

    Сквид же не умеет блокировать https?
    и еще по поводу блокировке определенных ip адресов для соц сетей, тоже только при помощи сквида?


  • @KripDen:

    @PbIXTOP:

    @pigbrother:

    В DNS Resolver тоже есть Advanced. Интересно, сработает ли это для Resolver?

    Скорее всего сработает, но надо читать документацию на Ubound как там это реализуется.
    @KripDen:

    Хотя нет все работает, System > Advanced on the Firewall/NAT tab (Aliases Hostnames Resolve Interval) уменьшил интервал, видимо не дождался
    Тогда добьём вопрос, как таким же примерно методом сделать перенаправление с vk.com на скажем mydomain.ru

    Чтобы срабатывало сразу, надо перезапускать сервис DNS и очищать DNS кеш на клиентах - ipconfig /flushdns и браузере.
    По поводу перенаправления — http - любой веб сервер, https - squid c ssl bump.

    Сквид же не умеет блокировать https?
    и еще по поводу блокировке определенных ip адресов для соц сетей, тоже только при помощи сквида?

    По поводу squid — он умеет блокировать https в pfsense в двух случаях
    1 Когда он в режиме MITM прозрачного прокси- может блокировать по URL, соответственно вам необходимо прописывать корневой сертификат для SSL bump
    2 когда вы на клиентах принудительно указываете его — варианта тогда тоже 2: как в первом случае тогда тоже требуется ssl bump, или просто будет работать блокировка по домену.
    Третьего режима PEEK-and-SPLICE насколько я понимаю нам в pfSense не завезли - он позволяет прозрачно проксировать https трафик и при необходимости блокировать его по домену.
    По поводу блокировок определенных IP проходящих через squid - я их просто туда не заворачиваю. в настройках прокси на эти хосты стоит bypass и обычное правило на файрволе для блокировки.


  • Вот была тема по поводу блокировки соц сетей. С помощью Layer7. https://forum.pfsense.org/index.php?topic=86007.0


  • Layer7 практически не работал в 2.2.х, а в 2.3.х удален из системы вообще.