блок анонимайзеров - нет доступа к webcache.googleusercontent.com
-
Нужно заблокировать некоторые самые популярные анонимайзеры. Создал для этого правило на LAN интерфейсе, такое http://i.imgur.com/tlyF0Tm.png
Алиас superuser представляет из себя список из одного айпи (моего), а алиас anonimizer - список анонимайзеров из первых около 5 страниц выдачи гугла, выглядит так http://i.imgur.com/Me5tyMy.png
Собственно, покуда этот второй список содержит хотя бы одну запись (не важно какую) - доступа к ресурсу webcache.googleusercontent.com нет, соответственно криво работают многие сервисы гугла.
При этом, есть на том же интерфейсе (LAN) есть абсолютно идентичное правило (только приоритетом на 1 выше) на блок с десяток айпишников соц. сетей (да, я знаю что криво, но это очередной бзик руководства который через неделю-две отменится, так что делал наскоро с минимальными усилиями) и оно отрабатывает прекрасно.Итого - выключаю правило на блок анонимайзеров - доступ к гуглокэшу есть, включаю - нет. Чищу список анонимайзеров с включенным правилом - доступ есть. Добавляю в список какой-нибудь nba.com - доступ тут же пропадает.
Помогите разобраться что за фигня происходит…
-
Доброе.
Попробуйте исп. не Block в правиле fw, а reject.P.s. Если у вас pf трудится и в кач-ве dns, то для блокировки лучше исп. dns resolver, т.е. принудительно разрешать имена анонимайзеров в 127.0.0.1 , напр.
-
Доброе.
Попробуйте исп. не Block в правиле fw, а reject.Странно но помогло о_О
Интересно почему…P.s. Если у вас pf трудится и в кач-ве dns, то для блокировки лучше исп. dns resolver, т.е. принудительно разрешать имена анонимайзеров в 127.0.0.1 , напр.
Но ведь в этом случае во-первых это можно будет обойти попросту используя гуглоднс, а во-вторых нельзя будет сделать список исключений, на которых блок не действует.
-
Теста ради попробовал поменять местами в двух этих правилах (блок соц.сетей и блок анонимайзеров) - собственно блок и реджект.
Рабочая версия - блок соц.сетей первое правило, реджект анонимайзеров второе.Блок соц.сетей, блок анонимайзеров - не работает.
Реджект соц. сетей, блок анонимайзеров - не работает.
Реджект\реджект - не работает.
Поигрался, решил что хрен с ним, верну как работало, т.е. блок, реджект - и, внезапно, не работает О.о После каждой смены делал reset states для чистоты эксперимента. Методом тыка попробовал включить\выключить второе правило на реджект - заработало.То ли лыжи не едут, то ли я чего-то не понимаю…
-
Доброе
Но ведь в этом случае во-первых это можно будет обойти попросту используя гуглоднс, а во-вторых нельзя будет сделать список исключений, на которых блок не действует.
Это решаемо запретом в сети любых dns, кроме pf.
-
Это решаемо запретом в сети любых dns, кроме pf.
Хмм, не знал что так можно… как так сделать?
И что насчет DC? AD же на днс завязан вроде(?), т.е. минимум еще 1 будет. Сейчас нету, я на будущее интересуюсь. -
Это решаемо запретом в сети любых dns, кроме pf.
Хмм, не знал что так можно… как так сделать?
И что насчет DC? AD же на днс завязан вроде(?), т.е. минимум еще 1 будет. Сейчас нету, я на будущее интересуюсь.https://doc.pfsense.org/index.php/Blocking_DNS_queries_to_external_resolvers
https://doc.pfsense.org/index.php/Redirecting_all_DNS_Requests_to_pfSense