pfSense за шлюзом, как заблокировать https



  • Ситуация: пфсенс стоит на объекте за другим шлюзом, который в свою очередь режет трафик. ДНС, АД, почтовые сервера тоже в той части сети(за моим пфсенсе, то есть "снаружи"). Но тут мне захотелось приглушить обновы 10 винды (все новые компы идут по закупкам с ней) - а легально на винде нельзя отключить обновы. Ну и попутно некоторые сайты зарезать.
    Задача не прям архиважная-скорее всего для экспириенса (интереса для).
    Начал читать и нашел вроде как решение в виде pfBlockedNG - ага, я так понял для него надо перевести пфсенс в режим DNS Resolver и я так понимаю в моем случае при ДНС снаружи это невозможно. Правильно?
    Хорошо начал с другой стороны - SquidGuard, тут непонятно режет ли вообще HTTPS ? Сертификаты ставить на каждый комп (что за глупость)?
    Вообщем чем бы порезать неугодный трафик, в том числе и https ? Буду благодарен за ссылки на дельные мануалы-можно и на англ. , желательно со скриншотами.

    Версия пф 2.4.4, squidGuard www 1.16.18_1, pfBlockerNG-devel net 2.2.5_21, squid www 0.4.44_7



  • Пугает молчание. Может есть мануалы по настройке SquidGuard или pfBlockedNG ?



  • @nubik если бы вы понимали хоть немного то что вы строчите может вам бы кто-то и помог.
    Вопервых почему у вас шлюз за шлюзом? Т_т это глупо. Ну да ладно. Вы можете резать трафик на разных уровнях:

    • Делать заглушки на DNS самый простой для дальнейшего обхода способ но он самый простой и безопасный в плане не навредить.
    • Блокировка по IP:port обойти можно будет только через VPN но залочить можно лишние ресурсы на том же IP.
    • PfBlocker умеет как делать загушки по DNS так и делать динамические правила или алиасы (списки ip) которые вы можете использовать в правилах файрвола как вам угодно.
    • Squid это http/s proxy им можно резать только вебсайты. Если вы хотите резать или анализировать https то вам нужно иметь CA для переподписывания https, и конечно ему должны все доверять. Для этого есть GPO в AD что бы не накатывать руками это все.
      P.S.
      PfSense из коробки DNS Resolver. В чем проблема? Ваши объяснения ничего не объясняют по делу. Клиенты слушают не pfSense а "внешние" AD серваки в роли DNS?
      Так сделайте что бы слушали pfSense.
      Настройки DNS Resolver Unbound никто не отменял - вы можете в нем что угодно настроить в custom config, читайте доки. Для начала прочитайте что такое transparent unbound dns resolver...


  • @dragoangel если б понимал то не спрашивал :))
    не тру админ-только учусь.
    Шлюз за шлюзом так как работаю в мега корпорации которая занимает по площади целый квартал. Соответственно у нас несколько зданий-в каждом по админу(в некоторых несколько). Мне повезло мне приходит трафик после шлюза...Поэтому такой изврат. Зачем мне пфсенс? Ну тамошний админ учудил получать на каждый комп ип по бумажечке и так далее. Самое ржачно то что на этаж например выделенно 20 ип и все. У вас закончились ип...
    Чтобы таким мозгодолбизмом не разжижать мозг -поставил свой шлюз.
    Но есть корпоративная почта-и чтобы ее было видно я в ДНС пфсенсу прописал копроративный ДНС сервак.

    Делаю блокировку чтоб свои мозги понимали и умели делать это. Если с http все мозгами понимаю и даже реализовывал на пфсенсе, то с https как-то туго.
    Ну и тут еще у глав. буха новый комп на 10 переодически мучает обновами, после которых ЭЦП порой глючит. Поэтому глав бух зла на меня-я зол на майкрософт))

    Задачи резать сайты так чтоб пользователи не смогли это обойти-не стоит. Хочется банально зарезать исходящий трафик на определенные ресурсы(так чтоль обозвать это безобразие?).
    Каким инструментом лучше это сделать?
    Исходящий трафик поснимал Fidller'ом. Со списком куда резать определился.

    Огромное спасибо что разжевали. Уж простите глуп я в некоторых местах, так уж жизнь сложилась не было возможности, задачи изучить и понять.



  • Ну во первых лочить сервера обновлений MS это грех - без обнов прийдет новый Петя и даст вам по щам. Обновы нужны, и их можно отложить. Для контроля установки обновлений есть WSUS, а не лочиние ресурсов MS ☝



  • тут есть прикол в том что вин сервер купить мне не позволит руководство-в том плане что оно уже есть у того админа. типа а тебе накой? мне уже завернули развертывание собственного AD.
    А лочить я думаю например с 1 по 28 число а 29 и 30 пусть качает ставит и т.д.
    Это все равно не спасает от голыхбритни.ехе которые прилетают через корпоративную почту (это кстатии след. тема как в моей ситуации фильтровать это. это вообще возможно ?) многие запускают-несмотря на мои рекомендации скидывать такое мне на почту и самим не открывать. Тут еще пару клячь на ХП - а там дыр...и офицально не поддерживается. Но что делать-оно в составе оборудования. Пока не сдохнет-будет работать.
    Варианты бежать с этой работы не рассматриваются. Ибо некуда-бежать только за кордон ибо тупизм нашего народа уже надоел(вот недавно делал патент, через электронный сервис - до сих пор бомбит как все это работает).



  • @nubik это уже оффтоп. кто говорит купить или развернуть еще один ad?) Просто тебе как админу офиса должны делегировать права на ОU твоего офиса в ихней AD, и GPO. Если не дают то это уже не твои задачи, пусть бух идет к админам выше. Вопрос снят.
    По почте тоже самое: какие письма и файлы принимать а какие нет: задача почтового сервера. Ставьте фильтры, антиспам и антивирус на почтовик. На конечных клиентах разве что антивирус и тот не спасет. Ладно ответ есть глуши тему. И пальчик в вверх не жалей)



  • @dragoangel ответ в стиле это не мое-идите к админу. не про нас.
    Все же:
    Хочется банально зарезать исходящий трафик на определенные ресурсы(так чтоль обозвать это безобразие?).
    Каким инструментом лучше это сделать?

    Порекомендуйте и я отстану :) Заранее благодарю.



    1. Я ж сказал: dns блокировки это к pfblocker ng. Настройка изи.
    2. Если не дают ресурсов/прав/доступа на корректное решение задач и просят делать идиотские костыли то лучше не делать нечего и пусть все плачут пока не дадут нормально все настроить, чем страдать идиотизмом. Это мое личное мнение. Если сверху админы безрукие иди к их начальству, и пусть те их либо заставляют работать или выдать тебе права - главное обьяснить почему тебе нужны эти права и что не работает. В большинстве случаев тебе просто дадут нужный уровень доступа. Так работает мир.


  • @dragoangel

    @dragoangel said in [pfSense за шлюзом, как заблокировать https](/post

    • PfBlocker умеет как делать загушки по DNS так и делать динамические правила или алиасы (списки ip) которые вы можете использовать в правилах файрвола как вам угодно.

    Насколько я помню PfBlocker вроде не может делать динамические правила и алиасы (списки ip для LAN сети) тем более использовать в правилах файрвола как вам угодно

    Об этом даже разраб BBcan177 писал
    https://www.reddit.com/r/PFSENSE/comments/5o1yj8/pfblockerng_whitelist_domain_for_one_client_only/

    и перевод

    К сожалению нет функциональности в Unbound для этого
    Единственный способ обойти DNSBL - это определить другой DNS-сервер для определенных устройств LAN, но это полностью обходит DNSBL ...

    ============================================================

    Может что то изменилось? ну тогда пример правила firewall и алиаса в студию если несложно☺



  • Капец фейспалм(. А по твоему Aliace NATIVE это что как не список ip к которому ты потом можешь обращаться для дальнейшего использования и который сам нику не всавлен... Например на основе whois резолвить IP...
    Во вторых UNBOUND может все. И если что pfblocker просто инклудит свой конфиг в unbound вот так и лочит днс...
    https://nlnetlabs.nl/documentation/unbound/
    Давай учись) больше помочь нечем



  • @dragoangel

    Еше раз повторяюсь ☹ ☹

    ну тогда пример правила firewall и алиаса в студию если не сложно

    А ТАК ЭТО СЛОВЕСТНЫЙ ПОНОС от *******☺

    Я описывал правила для лан в pfblockerNG
    и посмотрю как ты направишь допустим LAN машину 192.168.1.16 мимо pfblockerNG
    и что из этого получится

    и не фиг тут тыкать спец засратый

    =================================================================

    Еще один спец который считает себя умнее разраба BBcan177



  • This post is deleted!


  • @oleg1969 госпаде, ток что прочитал ваш пост полностью (и не понял че вы докопались), ну вы и наркоман сударь. Сами закопипастили цытату и читали ЖОПОЙ:
    так и делать динамические правила или алиасы (списки ip) которые вы можете использовать в правилах файрвола как вам угодно.

    Кто вообще говорит о том что возможно сделать такое как вы просите? Я говорю об IP, а не об dns. Читайте внимательно и не перекручивайте. Блокировики по dns не возможно завайтлистить - их можно просто проигнорировать используя другой днс. И по умолчанию эти блокировки держатся на чистом слове. dns over 853 tls, dns over 443 https. И все. Блочте по ip а не резолвингу dns, если так. тогда и обойти не получится (без впн) и гибко настроить правило для whitelisting одного клиента.
    П.С. я не слова не сказал о том какой я спец и что я кого-то умнее, у вас явно проблемы с фантазией.



  • @dragoangel
    Пример задачи ! Есть pf и установлен PfBlocker-devel
    PfBlocker настроен для блокировки рекламы и некоторых сайтов во всей сети через ДНС
    все работает на ура!можно даже нне ставить дополнения для браузеров
    Но Шеф имеет машину с адресом 192.168.1.16 и не хочет что бы его машина шла через PfBlocker

    А вашы бестолковые советы типа создать алиасы и правила вызывают улыбку☺

    И еще PfBlocker не пишет правила в FLOATING пока вы ему не укажите -- так что учитесь☹


    Еще раз внимательно прочтите мой первый пост там как раз для тех кто читает именно ЖОПОЙ писалась про ЛАН а не блокировку DNS



  • @oleg1969 вы влезли в чужой топик, пишите бред не вникая в тему топика и в сами коментарии в нем, еще й капсите на пол страницы. Если четырехзначное число в вашем нике это год рождения - то думаю вы взрослый дядька, а ведете себя вообще неадекватно. Аяяй. Банхамера на вас нет, но зато черный список - есть.
    @oleg1969 said in pfSense за шлюзом, как заблокировать https:

    Еще раз внимательно прочтите мой первый пост там как раз для тех кто читает именно ЖОПОЙ писалась про ЛАН а не блокировку DNS

    Unbound это и есть DNS сервер, а DNSBL это и есть блокировка DNS.
    P.S. : которым за 49рок в DHCP можно выдать статику и к ней сделать кастомный DNS для определеного МАС адреса. Дайте своему шефу другой DNS, а лучше другого админа.
    На этом базар окончен, на сщастье я больше не увижу вас на этом чудесном ресурсе. Создайте свой топик и задавайте вопросы в нем если вам вообще кто то такому хаму захочет помогать.



  • @dragoangel
    Конечно завязываем
    Первый топик был нормальный так ты начал писать какой ты унас умный а все остальные неучи
    Дал ссылку так теперь ты выдаешь типа за свой совет ☺
    У ШЕФА это сделано еще год

    Так что и без соплей скользко



  • @oleg1969 , а какой инструмент вы порекомендовали бы мне в моей ситуации?
    Я совершенно не против вашего спора-в споре рождается истина, если морду никто никому не набьет. Но не захотели истину рождать. Вполне хорошую ситуацию привели-как сделать исключение из правил для одного хоста. Мало ли, директору или серверу WSUS пусть идут обновления....



  • @nubik
    Я не использую SquidGuard и Squid! а использую только pfBlockedNG-devel

    ссылки -- лучшая ссылка
    https://www.linuxincluded.com/block-ads-malvertising-on-pfsense-using-pfblockerng-dnsbl/

    https://openschoolsolutions.org/pfsense-web-filter-filter-https-squidguard
    По этой ссылке можно настроить безопастный поиск Google (если надо) про SquidGuard и Squid можно не читать

    • pfBlockedNG-devel практически полная блокировка рекламы
    • можно запретить любой http или https ну или IP итд итп
    • блокировка по geoIP(СТРАНАМ)

    ========================================================

    Недостаток >> нельзя создать Алиасы правила и пускать определенные машины минуя pfBlockedNG-devel

    Будут вопросы постараюсь ответить



  • @oleg1969 добрый вечер
    Если не секрет, как должно выглядеть по-вашему такое правило?
    Я тут поразмышлял, есть теоретическая возможность посылать dns запросы, минуя этот pfblocker, напрямую через pfsense



  • @Konstanti По правде я то же не знаю☹ и разраб @BBcan177 по хоже тоже не знает .Только оказывается @dragoangel знал но не сказал ☺ ☺
    Я решил просто в DHCP Server LAN / DHCP Static Mappings for this Interface для конкретной машины (допустим 192.168.1.16) указал другой DNS допустим 8.8.4.4



  • @Konstanti Лично я поднимал несколько экземпляров dnsmasq и просто натил запросы в них от определенных клиентов. Такое решение позволяло оставлять возможность работы локального ресолва.



  • Доброго.

    Работает исключение по IP для Unbound. Не без танцев, но работает.
    https://forum.netgate.com/topic/129365/bypassing-dnsbl-for-specific-ips/

    Помнить, что:

    Please note, if you do an update, disable and re-enable DNSBL that line will be modified again back to the standard entry. You will need to check each time and remove any leading "server:" to ensure your expected behavior works as expected.

    Я решил просто в DHCP Server LAN / DHCP Static Mappings for this Interface для конкретной машины (допустим 192.168.1.16) указал другой DNS допустим 8.8.4.4

    У меня по dhcp в кач-ве dns клиентам раздаются ip-адреса контроллеров домена. И все dns-запросы завернуты на pf. Выдачей клиенту чего-то отличного от адресов контроллеров домена я лишаю его возможности разрешать внутренние доменные имена. Ваша схема работать не будет.



  • @werter said in pfSense за шлюзом, как заблокировать https:

    У меня по dhcp в кач-ве dns клиентам раздаются ip-адреса контроллеров домена. И все dns-запросы завернуты на pf. Выдачей клиенту чего-то отличного от адресов контроллеров домена я лишаю его возможности разрешать внутренние доменные имена. Ваша схема работать не будет.

    У меня этого нет dns-запросы не завернуты поэтому и работает



  • @werter Доброго вечера
    Даже если заворачивать все DNS запросы на pf , есть лазейка как это обойти
    Конечно , не в лоб это решается , но , вполне решаемо . Другое дело , нужно это или нет





  • @oleg1969

    У меня этого нет dns-запросы не завернуты поэтому и работает

    У вас и домена-то нет )


Log in to reply