Запрет HTTPS трафика



  • Могли бы вы мне подсказать как запретить заходить на сайты по https. Если прописать http://vk.com то все отлично, pfsense выдает что доступ запрещен а вот если написать https://vk.com то можно зайти на любой сайт. как это исправить????



  • Доброе.
    Можно с помощью Domain override. Но нужно завернуть весь dns трафик клиентов на пф. Чтобы они не могли использовать др. днс, кроме пф.



  • @werter:

    Доброе.
    Можно с помощью Domain override. Но нужно завернуть весь dns трафик клиентов на пф. Чтобы они не могли использовать др. днс, кроме пф.

    А в самом pfsense нет возможности как то это реализовать? имеется ввиду где нибудь в настройках



  • Волшебной галки "Сделать все зашибись" ? Не, не встречал. Может Вам повезет.



  • @werter:

    Волшебной галки "Сделать все зашибись" ? Не, не встречал. Может Вам повезет.

    ;D Да я понял о чем Вы. просто когда ты только начал работать с pfsense и все для тебя ново и не знакомо хочется вариант по проще. Если не трудно подскажите как реализовать метод ЗАПРЕЩЕНО ВСЕ КРОМЕ РАЗРЕЩЕННОГО в pfsense?



  • Самый простой способ запретить весь HTTPS трафик

    Создать запрещающее правило для него типа такого

    x  IPv4 TCP    LAN net    *    *    443 (HTTPS)    *    none

    Но не забываем  ! что это правило так же может блокировать и кучу других сайтов в которых есть ссылки на HTTPS



  • Доброе.
    @oleg1969:

    x  IPv4 TCP    LAN net    *    *    443 (HTTPS)    *    none

    Вы так всего Интернета лишитесь  :D



  • Я вроде об этом писал  ;D  - зачем повторять ?



  • @OutPut:

    как реализовать метод ЗАПРЕЩЕНО ВСЕ КРОМЕ РАЗРЕЩЕННОГО в pfsense?

    Создайте алиас с нужными вам сайтами (сайт может быть с www и без www - добавлять оба).
    После - создавайте правило fw на LAN, где в Src - lan net, а в Dest - алиас. Порты в Dest - tcp 80 и 443.
    Поставьте вышесоздан. правило выше всех.

    Явно запрещать все остальное не нужно - пф блокирует по-умолч. все, что ЯВНО не разрешено.

    Настроите и показывайте скрины того, что настраивали.



  • @werter:

    @OutPut:

    как реализовать метод ЗАПРЕЩЕНО ВСЕ КРОМЕ РАЗРЕЩЕННОГО в pfsense?

    Создайте алиас с нужными вам сайтами (сайт может быть с www и без www - добавлять оба).
    После - создавайте правило fw на LAN, где в Src - lan net, а в Dest - алиас. Порты в Dest - tcp 80 и 443.
    Поставьте вышесоздан. правило выше всех.

    Явно запрещать все остальное не нужно - пф блокирует по-умолч. все, что ЯВНО не разрешено.

    Настроите и выкл. скрины того, что настраивали.

    Если имеются в виду алиасы типа URL, то это работать не будет.
    pfSense такие алиасы  использует для других, мало кому нужных, целей:

    Enter as many URLs as desired. After saving, the URLs will be downloaded and the items imported into the alias. Use only with small sets of IP addresses (less than 3000)..



  • Зачем постить такой треш? Объясни зачем тебе нужно лочить https? Есть куча сайтов который работые работают HSTS - только в режиме HTTPS - они отвечают по http насильным редиректом на https и больше на http ничего нет. Если ты просто хочешь порезать доступ к какому то 1 ресурсу по IP то проще всего сделать это через pfBlocker NG в котором на основе whois домена или ASN залочить тот или иной ресурс, а не лочить весь интернет…



  • Блочить выборочно https можно squid + squidguard.
    В последних версиях нормально работает.
    от pfblokerNG отказался. не прозрачно, много памяти нужно. сложно отловить ложные срабатывания.



  • Достаешь ip адреса с подсетями твоего ресурса, создаешь на них алиас и правило с ним на запрет хождения трафика из локальной сети.

    Кстати, в запрещающем правиле в Action выбирай не block, а Reject. В этом случае ресурсы использующий заблокированный контент, открываться будут в разы быстрее.



  • Напимер алиас типа network(s) добавляешь туда

    login.vk.com
    vk.com
    m.vk.com
    pp.userapi.com



  • @Scodezan:

    Напимер алиас типа network(s) добавляешь туда

    login.vk.com
    vk.com
    m.vk.com
    pp.userapi.com

    Хм. А вот это интересно. Кстати к имени (FQDN) нужно добавить маску /32:
    Hostnames (FQDNs) may also be specified, using a /32 mask for IPv4.
    Scodezan, вы лично пробовали создавать такие алиасы? Блокировка по ни работает?
    upd.
    маску /32 pfSense добавляет сам



  • Да. Юзаю больше года, в основном на разрешающих правилах.



  • Доброе.

    http://bgp.he.net/search?search[search]=vkontakte
    http://bgp.he.net/search?search[search]=odnoklassniki

    Агрегировать (https://ip-calculator.ru/aggregate/)
    Запрещающее правило в пф - Reject , не Block.