блок анонимайзеров - нет доступа к webcache.googleusercontent.com



  • Нужно заблокировать некоторые самые популярные анонимайзеры. Создал для этого правило на LAN интерфейсе, такое http://i.imgur.com/tlyF0Tm.png

    Алиас superuser представляет из себя список из одного айпи (моего), а алиас anonimizer - список анонимайзеров из первых около 5 страниц выдачи гугла, выглядит так http://i.imgur.com/Me5tyMy.png

    Собственно, покуда этот второй список содержит хотя бы одну запись (не важно какую) - доступа к ресурсу webcache.googleusercontent.com нет, соответственно криво работают многие сервисы гугла.
    При этом, есть на том же интерфейсе (LAN) есть абсолютно идентичное правило (только приоритетом на 1 выше) на блок с десяток айпишников соц. сетей (да, я знаю что криво, но это очередной бзик руководства который через неделю-две отменится, так что делал наскоро с минимальными усилиями) и оно отрабатывает прекрасно.

    Итого - выключаю правило на блок анонимайзеров - доступ к гуглокэшу есть, включаю - нет. Чищу список анонимайзеров с включенным правилом - доступ есть. Добавляю в список какой-нибудь nba.com - доступ тут же пропадает.

    Помогите разобраться что за фигня происходит…



  • Доброе.
    Попробуйте исп. не Block в правиле fw, а reject.

    P.s. Если у вас pf трудится и в кач-ве dns, то для блокировки лучше исп. dns resolver, т.е. принудительно разрешать имена анонимайзеров в 127.0.0.1 , напр.



  • @werter:

    Доброе.
    Попробуйте исп. не Block в правиле fw, а reject.

    Странно но помогло о_О
    Интересно почему…

    @werter:

    P.s. Если у вас pf трудится и в кач-ве dns, то для блокировки лучше исп. dns resolver, т.е. принудительно разрешать имена анонимайзеров в 127.0.0.1 , напр.

    Но ведь в этом случае во-первых это можно будет обойти попросту используя гуглоднс, а во-вторых нельзя будет сделать список исключений, на которых блок не действует.



  • Теста ради попробовал поменять местами в двух этих правилах (блок соц.сетей и блок анонимайзеров) - собственно блок и реджект.
    Рабочая версия - блок соц.сетей первое правило, реджект анонимайзеров второе.

    Блок соц.сетей, блок анонимайзеров - не работает.
    Реджект соц. сетей, блок анонимайзеров - не работает.
    Реджект\реджект - не работает.
    Поигрался, решил что хрен с ним, верну как работало, т.е. блок, реджект - и, внезапно, не работает О.о После каждой смены делал reset states для чистоты эксперимента. Методом тыка попробовал включить\выключить второе правило на реджект - заработало.

    То ли лыжи не едут, то ли я чего-то не понимаю…



  • Доброе

    Но ведь в этом случае во-первых это можно будет обойти попросту используя гуглоднс, а во-вторых нельзя будет сделать список исключений, на которых блок не действует.

    Это решаемо запретом в сети любых dns, кроме pf.



  • @werter:

    Это решаемо запретом в сети любых dns, кроме pf.

    Хмм, не знал что так можно… как так сделать?
    И что насчет DC? AD же на днс завязан вроде(?), т.е. минимум еще 1 будет. Сейчас нету, я на будущее интересуюсь.



  • @Charg:

    @werter:

    Это решаемо запретом в сети любых dns, кроме pf.

    Хмм, не знал что так можно… как так сделать?
    И что насчет DC? AD же на днс завязан вроде(?), т.е. минимум еще 1 будет. Сейчас нету, я на будущее интересуюсь.

    https://doc.pfsense.org/index.php/Blocking_DNS_queries_to_external_resolvers
    https://doc.pfsense.org/index.php/Redirecting_all_DNS_Requests_to_pfSense