Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    pfSense за шлюзом, как заблокировать https

    Russian
    5
    20
    1149
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • N
      nubik last edited by nubik

      Ситуация: пфсенс стоит на объекте за другим шлюзом, который в свою очередь режет трафик. ДНС, АД, почтовые сервера тоже в той части сети(за моим пфсенсе, то есть "снаружи"). Но тут мне захотелось приглушить обновы 10 винды (все новые компы идут по закупкам с ней) - а легально на винде нельзя отключить обновы. Ну и попутно некоторые сайты зарезать.
      Задача не прям архиважная-скорее всего для экспириенса (интереса для).
      Начал читать и нашел вроде как решение в виде pfBlockedNG - ага, я так понял для него надо перевести пфсенс в режим DNS Resolver и я так понимаю в моем случае при ДНС снаружи это невозможно. Правильно?
      Хорошо начал с другой стороны - SquidGuard, тут непонятно режет ли вообще HTTPS ? Сертификаты ставить на каждый комп (что за глупость)?
      Вообщем чем бы порезать неугодный трафик, в том числе и https ? Буду благодарен за ссылки на дельные мануалы-можно и на англ. , желательно со скриншотами.

      Версия пф 2.4.4, squidGuard www 1.16.18_1, pfBlockerNG-devel net 2.2.5_21, squid www 0.4.44_7

      1 Reply Last reply Reply Quote 0
      • N
        nubik last edited by

        Пугает молчание. Может есть мануалы по настройке SquidGuard или pfBlockedNG ?

        dragoangel 1 Reply Last reply Reply Quote 0
        • dragoangel
          dragoangel @nubik last edited by dragoangel

          @nubik если бы вы понимали хоть немного то что вы строчите может вам бы кто-то и помог.
          Вопервых почему у вас шлюз за шлюзом? Т_т это глупо. Ну да ладно. Вы можете резать трафик на разных уровнях:

          • Делать заглушки на DNS самый простой для дальнейшего обхода способ но он самый простой и безопасный в плане не навредить.
          • Блокировка по IP:port обойти можно будет только через VPN но залочить можно лишние ресурсы на том же IP.
          • PfBlocker умеет как делать загушки по DNS так и делать динамические правила или алиасы (списки ip) которые вы можете использовать в правилах файрвола как вам угодно.
          • Squid это http/s proxy им можно резать только вебсайты. Если вы хотите резать или анализировать https то вам нужно иметь CA для переподписывания https, и конечно ему должны все доверять. Для этого есть GPO в AD что бы не накатывать руками это все.
            P.S.
            PfSense из коробки DNS Resolver. В чем проблема? Ваши объяснения ничего не объясняют по делу. Клиенты слушают не pfSense а "внешние" AD серваки в роли DNS?
            Так сделайте что бы слушали pfSense.
            Настройки DNS Resolver Unbound никто не отменял - вы можете в нем что угодно настроить в custom config, читайте доки. Для начала прочитайте что такое transparent unbound dns resolver...
          N 1 Reply Last reply Reply Quote 0
          • N
            nubik @dragoangel last edited by

            @dragoangel если б понимал то не спрашивал :))
            не тру админ-только учусь.
            Шлюз за шлюзом так как работаю в мега корпорации которая занимает по площади целый квартал. Соответственно у нас несколько зданий-в каждом по админу(в некоторых несколько). Мне повезло мне приходит трафик после шлюза...Поэтому такой изврат. Зачем мне пфсенс? Ну тамошний админ учудил получать на каждый комп ип по бумажечке и так далее. Самое ржачно то что на этаж например выделенно 20 ип и все. У вас закончились ип...
            Чтобы таким мозгодолбизмом не разжижать мозг -поставил свой шлюз.
            Но есть корпоративная почта-и чтобы ее было видно я в ДНС пфсенсу прописал копроративный ДНС сервак.

            Делаю блокировку чтоб свои мозги понимали и умели делать это. Если с http все мозгами понимаю и даже реализовывал на пфсенсе, то с https как-то туго.
            Ну и тут еще у глав. буха новый комп на 10 переодически мучает обновами, после которых ЭЦП порой глючит. Поэтому глав бух зла на меня-я зол на майкрософт))

            Задачи резать сайты так чтоб пользователи не смогли это обойти-не стоит. Хочется банально зарезать исходящий трафик на определенные ресурсы(так чтоль обозвать это безобразие?).
            Каким инструментом лучше это сделать?
            Исходящий трафик поснимал Fidller'ом. Со списком куда резать определился.

            Огромное спасибо что разжевали. Уж простите глуп я в некоторых местах, так уж жизнь сложилась не было возможности, задачи изучить и понять.

            1 Reply Last reply Reply Quote 0
            • dragoangel
              dragoangel last edited by

              Ну во первых лочить сервера обновлений MS это грех - без обнов прийдет новый Петя и даст вам по щам. Обновы нужны, и их можно отложить. Для контроля установки обновлений есть WSUS, а не лочиние ресурсов MS ☝

              1 Reply Last reply Reply Quote 0
              • N
                nubik last edited by

                тут есть прикол в том что вин сервер купить мне не позволит руководство-в том плане что оно уже есть у того админа. типа а тебе накой? мне уже завернули развертывание собственного AD.
                А лочить я думаю например с 1 по 28 число а 29 и 30 пусть качает ставит и т.д.
                Это все равно не спасает от голыхбритни.ехе которые прилетают через корпоративную почту (это кстатии след. тема как в моей ситуации фильтровать это. это вообще возможно ?) многие запускают-несмотря на мои рекомендации скидывать такое мне на почту и самим не открывать. Тут еще пару клячь на ХП - а там дыр...и офицально не поддерживается. Но что делать-оно в составе оборудования. Пока не сдохнет-будет работать.
                Варианты бежать с этой работы не рассматриваются. Ибо некуда-бежать только за кордон ибо тупизм нашего народа уже надоел(вот недавно делал патент, через электронный сервис - до сих пор бомбит как все это работает).

                dragoangel 1 Reply Last reply Reply Quote 0
                • dragoangel
                  dragoangel @nubik last edited by dragoangel

                  @nubik это уже оффтоп. кто говорит купить или развернуть еще один ad?) Просто тебе как админу офиса должны делегировать права на ОU твоего офиса в ихней AD, и GPO. Если не дают то это уже не твои задачи, пусть бух идет к админам выше. Вопрос снят.
                  По почте тоже самое: какие письма и файлы принимать а какие нет: задача почтового сервера. Ставьте фильтры, антиспам и антивирус на почтовик. На конечных клиентах разве что антивирус и тот не спасет. Ладно ответ есть глуши тему. И пальчик в вверх не жалей)

                  N 1 Reply Last reply Reply Quote 0
                  • N
                    nubik @dragoangel last edited by

                    @dragoangel ответ в стиле это не мое-идите к админу. не про нас.
                    Все же:
                    Хочется банально зарезать исходящий трафик на определенные ресурсы(так чтоль обозвать это безобразие?).
                    Каким инструментом лучше это сделать?

                    Порекомендуйте и я отстану :) Заранее благодарю.

                    1 Reply Last reply Reply Quote 0
                    • dragoangel
                      dragoangel last edited by dragoangel

                      1. Я ж сказал: dns блокировки это к pfblocker ng. Настройка изи.
                      2. Если не дают ресурсов/прав/доступа на корректное решение задач и просят делать идиотские костыли то лучше не делать нечего и пусть все плачут пока не дадут нормально все настроить, чем страдать идиотизмом. Это мое личное мнение. Если сверху админы безрукие иди к их начальству, и пусть те их либо заставляют работать или выдать тебе права - главное обьяснить почему тебе нужны эти права и что не работает. В большинстве случаев тебе просто дадут нужный уровень доступа. Так работает мир.
                      1 Reply Last reply Reply Quote 0
                      • dragoangel
                        dragoangel last edited by dragoangel

                        Капец фейспалм(. А по твоему Aliace NATIVE это что как не список ip к которому ты потом можешь обращаться для дальнейшего использования и который сам нику не всавлен... Например на основе whois резолвить IP...
                        Во вторых UNBOUND может все. И если что pfblocker просто инклудит свой конфиг в unbound вот так и лочит днс...
                        https://nlnetlabs.nl/documentation/unbound/
                        Давай учись) больше помочь нечем

                        1 Reply Last reply Reply Quote 0
                        • dragoangel
                          dragoangel last edited by dragoangel

                          This post is deleted!
                          1 Reply Last reply Reply Quote 0
                          • dragoangel
                            dragoangel last edited by dragoangel

                            @oleg1969 госпаде, ток что прочитал ваш пост полностью (и не понял че вы докопались), ну вы и наркоман сударь. Сами закопипастили цытату и читали ЖОПОЙ:
                            так и делать динамические правила или алиасы (списки ip) которые вы можете использовать в правилах файрвола как вам угодно.

                            Кто вообще говорит о том что возможно сделать такое как вы просите? Я говорю об IP, а не об dns. Читайте внимательно и не перекручивайте. Блокировики по dns не возможно завайтлистить - их можно просто проигнорировать используя другой днс. И по умолчанию эти блокировки держатся на чистом слове. dns over 853 tls, dns over 443 https. И все. Блочте по ip а не резолвингу dns, если так. тогда и обойти не получится (без впн) и гибко настроить правило для whitelisting одного клиента.
                            П.С. я не слова не сказал о том какой я спец и что я кого-то умнее, у вас явно проблемы с фантазией.

                            1 Reply Last reply Reply Quote 0
                            • dragoangel
                              dragoangel last edited by dragoangel

                              @oleg1969 вы влезли в чужой топик, пишите бред не вникая в тему топика и в сами коментарии в нем, еще й капсите на пол страницы. Если четырехзначное число в вашем нике это год рождения - то думаю вы взрослый дядька, а ведете себя вообще неадекватно. Аяяй. Банхамера на вас нет, но зато черный список - есть.
                              @oleg1969 said in pfSense за шлюзом, как заблокировать https:

                              Еще раз внимательно прочтите мой первый пост там как раз для тех кто читает именно ЖОПОЙ писалась про ЛАН а не блокировку DNS

                              Unbound это и есть DNS сервер, а DNSBL это и есть блокировка DNS.
                              P.S. : которым за 49рок в DHCP можно выдать статику и к ней сделать кастомный DNS для определеного МАС адреса. Дайте своему шефу другой DNS, а лучше другого админа.
                              На этом базар окончен, на сщастье я больше не увижу вас на этом чудесном ресурсе. Создайте свой топик и задавайте вопросы в нем если вам вообще кто то такому хаму захочет помогать.

                              1 Reply Last reply Reply Quote 0
                              • N
                                nubik last edited by

                                @oleg1969 , а какой инструмент вы порекомендовали бы мне в моей ситуации?
                                Я совершенно не против вашего спора-в споре рождается истина, если морду никто никому не набьет. Но не захотели истину рождать. Вполне хорошую ситуацию привели-как сделать исключение из правил для одного хоста. Мало ли, директору или серверу WSUS пусть идут обновления....

                                1 Reply Last reply Reply Quote 0
                                • K
                                  Konstanti last edited by Konstanti

                                  @oleg1969 добрый вечер
                                  Если не секрет, как должно выглядеть по-вашему такое правило?
                                  Я тут поразмышлял, есть теоретическая возможность посылать dns запросы, минуя этот pfblocker, напрямую через pfsense

                                  P 1 Reply Last reply Reply Quote 0
                                  • P
                                    PbIXTOP @Konstanti last edited by

                                    @Konstanti Лично я поднимал несколько экземпляров dnsmasq и просто натил запросы в них от определенных клиентов. Такое решение позволяло оставлять возможность работы локального ресолва.

                                    1 Reply Last reply Reply Quote 0
                                    • werter
                                      werter last edited by werter

                                      Доброго.

                                      Работает исключение по IP для Unbound. Не без танцев, но работает.
                                      https://forum.netgate.com/topic/129365/bypassing-dnsbl-for-specific-ips/

                                      Помнить, что:

                                      Please note, if you do an update, disable and re-enable DNSBL that line will be modified again back to the standard entry. You will need to check each time and remove any leading "server:" to ensure your expected behavior works as expected.

                                      Я решил просто в DHCP Server LAN / DHCP Static Mappings for this Interface для конкретной машины (допустим 192.168.1.16) указал другой DNS допустим 8.8.4.4

                                      У меня по dhcp в кач-ве dns клиентам раздаются ip-адреса контроллеров домена. И все dns-запросы завернуты на pf. Выдачей клиенту чего-то отличного от адресов контроллеров домена я лишаю его возможности разрешать внутренние доменные имена. Ваша схема работать не будет.

                                      K 1 Reply Last reply Reply Quote 0
                                      • K
                                        Konstanti @werter last edited by Konstanti

                                        @werter Доброго вечера
                                        Даже если заворачивать все DNS запросы на pf , есть лазейка как это обойти
                                        Конечно , не в лоб это решается , но , вполне решаемо . Другое дело , нужно это или нет

                                        werter 1 Reply Last reply Reply Quote 0
                                        • werter
                                          werter @Konstanti last edited by

                                          @Konstanti
                                          Например, DOH linuxincluded.com/bypass-dns-controls-with-dns-over-https-no-bootstrap-required

                                          1 Reply Last reply Reply Quote 0
                                          • werter
                                            werter last edited by werter

                                            @oleg1969

                                            У меня этого нет dns-запросы не завернуты поэтому и работает

                                            У вас и домена-то нет )

                                            1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post