Запрет HTTPS трафика
-
Доброе.
@oleg1969:x IPv4 TCP LAN net * * 443 (HTTPS) * none
Вы так всего Интернета лишитесь :D
-
как реализовать метод ЗАПРЕЩЕНО ВСЕ КРОМЕ РАЗРЕЩЕННОГО в pfsense?
Создайте алиас с нужными вам сайтами (сайт может быть с www и без www - добавлять оба).
После - создавайте правило fw на LAN, где в Src - lan net, а в Dest - алиас. Порты в Dest - tcp 80 и 443.
Поставьте вышесоздан. правило выше всех.Явно запрещать все остальное не нужно - пф блокирует по-умолч. все, что ЯВНО не разрешено.
Настроите и показывайте скрины того, что настраивали.
-
как реализовать метод ЗАПРЕЩЕНО ВСЕ КРОМЕ РАЗРЕЩЕННОГО в pfsense?
Создайте алиас с нужными вам сайтами (сайт может быть с www и без www - добавлять оба).
После - создавайте правило fw на LAN, где в Src - lan net, а в Dest - алиас. Порты в Dest - tcp 80 и 443.
Поставьте вышесоздан. правило выше всех.Явно запрещать все остальное не нужно - пф блокирует по-умолч. все, что ЯВНО не разрешено.
Настроите и выкл. скрины того, что настраивали.
Если имеются в виду алиасы типа URL, то это работать не будет.
pfSense такие алиасы использует для других, мало кому нужных, целей:Enter as many URLs as desired. After saving, the URLs will be downloaded and the items imported into the alias. Use only with small sets of IP addresses (less than 3000)..
-
Зачем постить такой треш? Объясни зачем тебе нужно лочить https? Есть куча сайтов который работые работают HSTS - только в режиме HTTPS - они отвечают по http насильным редиректом на https и больше на http ничего нет. Если ты просто хочешь порезать доступ к какому то 1 ресурсу по IP то проще всего сделать это через pfBlocker NG в котором на основе whois домена или ASN залочить тот или иной ресурс, а не лочить весь интернет…
-
Блочить выборочно https можно squid + squidguard.
В последних версиях нормально работает.
от pfblokerNG отказался. не прозрачно, много памяти нужно. сложно отловить ложные срабатывания. -
Достаешь ip адреса с подсетями твоего ресурса, создаешь на них алиас и правило с ним на запрет хождения трафика из локальной сети.
Кстати, в запрещающем правиле в Action выбирай не block, а Reject. В этом случае ресурсы использующий заблокированный контент, открываться будут в разы быстрее.
-
Напимер алиас типа network(s) добавляешь туда
login.vk.com
vk.com
m.vk.com
pp.userapi.com -
Напимер алиас типа network(s) добавляешь туда
login.vk.com
vk.com
m.vk.com
pp.userapi.comХм. А вот это интересно. Кстати к имени (FQDN) нужно добавить маску /32:
Hostnames (FQDNs) may also be specified, using a /32 mask for IPv4.
Scodezan, вы лично пробовали создавать такие алиасы? Блокировка по ни работает?
upd.
маску /32 pfSense добавляет сам -
Да. Юзаю больше года, в основном на разрешающих правилах.
-
Доброе.
http://bgp.he.net/search?search[search]=vkontakte
http://bgp.he.net/search?search[search]=odnoklassnikiАгрегировать (https://ip-calculator.ru/aggregate/)
Запрещающее правило в пф - Reject , не Block.