pfSense за шлюзом, как заблокировать https

nubik

Ситуация: пфсенс стоит на объекте за другим шлюзом, который в свою очередь режет трафик. ДНС, АД, почтовые сервера тоже в той части сети(за моим пфсенсе, то есть "снаружи"). Но тут мне захотелось приглушить обновы 10 винды (все новые компы идут по закупкам с ней) - а легально на винде нельзя отключить обновы. Ну и попутно некоторые сайты зарезать.
Задача не прям архиважная-скорее всего для экспириенса (интереса для).
Начал читать и нашел вроде как решение в виде pfBlockedNG - ага, я так понял для него надо перевести пфсенс в режим DNS Resolver и я так понимаю в моем случае при ДНС снаружи это невозможно. Правильно?
Хорошо начал с другой стороны - SquidGuard, тут непонятно режет ли вообще HTTPS ? Сертификаты ставить на каждый комп (что за глупость)?
Вообщем чем бы порезать неугодный трафик, в том числе и https ? Буду благодарен за ссылки на дельные мануалы-можно и на англ. , желательно со скриншотами.

Версия пф 2.4.4, squidGuard www 1.16.18_1, pfBlockerNG-devel net 2.2.5_21, squid www 0.4.44_7

nubik

Пугает молчание. Может есть мануалы по настройке SquidGuard или pfBlockedNG ?

dragoangel

@nubik если бы вы понимали хоть немного то что вы строчите может вам бы кто-то и помог.
Вопервых почему у вас шлюз за шлюзом? Т_т это глупо. Ну да ладно. Вы можете резать трафик на разных уровнях:

Делать заглушки на DNS самый простой для дальнейшего обхода способ но он самый простой и безопасный в плане не навредить.
Блокировка по IP:port обойти можно будет только через VPN но залочить можно лишние ресурсы на том же IP.
PfBlocker умеет как делать загушки по DNS так и делать динамические правила или алиасы (списки ip) которые вы можете использовать в правилах файрвола как вам угодно.
Squid это http/s proxy им можно резать только вебсайты. Если вы хотите резать или анализировать https то вам нужно иметь CA для переподписывания https, и конечно ему должны все доверять. Для этого есть GPO в AD что бы не накатывать руками это все.
P.S.
PfSense из коробки DNS Resolver. В чем проблема? Ваши объяснения ничего не объясняют по делу. Клиенты слушают не pfSense а "внешние" AD серваки в роли DNS?
Так сделайте что бы слушали pfSense.
Настройки DNS Resolver Unbound никто не отменял - вы можете в нем что угодно настроить в custom config, читайте доки. Для начала прочитайте что такое transparent unbound dns resolver...

nubik

@dragoangel если б понимал то не спрашивал :))
не тру админ-только учусь.
Шлюз за шлюзом так как работаю в мега корпорации которая занимает по площади целый квартал. Соответственно у нас несколько зданий-в каждом по админу(в некоторых несколько). Мне повезло мне приходит трафик после шлюза...Поэтому такой изврат. Зачем мне пфсенс? Ну тамошний админ учудил получать на каждый комп ип по бумажечке и так далее. Самое ржачно то что на этаж например выделенно 20 ип и все. У вас закончились ип...
Чтобы таким мозгодолбизмом не разжижать мозг -поставил свой шлюз.
Но есть корпоративная почта-и чтобы ее было видно я в ДНС пфсенсу прописал копроративный ДНС сервак.

Делаю блокировку чтоб свои мозги понимали и умели делать это. Если с http все мозгами понимаю и даже реализовывал на пфсенсе, то с https как-то туго.
Ну и тут еще у глав. буха новый комп на 10 переодически мучает обновами, после которых ЭЦП порой глючит. Поэтому глав бух зла на меня-я зол на майкрософт))

Задачи резать сайты так чтоб пользователи не смогли это обойти-не стоит. Хочется банально зарезать исходящий трафик на определенные ресурсы(так чтоль обозвать это безобразие?).
Каким инструментом лучше это сделать?
Исходящий трафик поснимал Fidller'ом. Со списком куда резать определился.

Огромное спасибо что разжевали. Уж простите глуп я в некоторых местах, так уж жизнь сложилась не было возможности, задачи изучить и понять.

dragoangel

Ну во первых лочить сервера обновлений MS это грех - без обнов прийдет новый Петя и даст вам по щам. Обновы нужны, и их можно отложить. Для контроля установки обновлений есть WSUS, а не лочиние ресурсов MS

nubik

тут есть прикол в том что вин сервер купить мне не позволит руководство-в том плане что оно уже есть у того админа. типа а тебе накой? мне уже завернули развертывание собственного AD.
А лочить я думаю например с 1 по 28 число а 29 и 30 пусть качает ставит и т.д.
Это все равно не спасает от голыхбритни.ехе которые прилетают через корпоративную почту (это кстатии след. тема как в моей ситуации фильтровать это. это вообще возможно ?) многие запускают-несмотря на мои рекомендации скидывать такое мне на почту и самим не открывать. Тут еще пару клячь на ХП - а там дыр...и офицально не поддерживается. Но что делать-оно в составе оборудования. Пока не сдохнет-будет работать.
Варианты бежать с этой работы не рассматриваются. Ибо некуда-бежать только за кордон ибо тупизм нашего народа уже надоел(вот недавно делал патент, через электронный сервис - до сих пор бомбит как все это работает).

dragoangel

@nubik это уже оффтоп. кто говорит купить или развернуть еще один ad?) Просто тебе как админу офиса должны делегировать права на ОU твоего офиса в ихней AD, и GPO. Если не дают то это уже не твои задачи, пусть бух идет к админам выше. Вопрос снят.
По почте тоже самое: какие письма и файлы принимать а какие нет: задача почтового сервера. Ставьте фильтры, антиспам и антивирус на почтовик. На конечных клиентах разве что антивирус и тот не спасет. Ладно ответ есть глуши тему. И пальчик в вверх не жалей)

nubik

@dragoangel ответ в стиле это не мое-идите к админу. не про нас.
Все же:
Хочется банально зарезать исходящий трафик на определенные ресурсы(так чтоль обозвать это безобразие?).
Каким инструментом лучше это сделать?

Порекомендуйте и я отстану :) Заранее благодарю.

dragoangel

Я ж сказал: dns блокировки это к pfblocker ng. Настройка изи.
Если не дают ресурсов/прав/доступа на корректное решение задач и просят делать идиотские костыли то лучше не делать нечего и пусть все плачут пока не дадут нормально все настроить, чем страдать идиотизмом. Это мое личное мнение. Если сверху админы безрукие иди к их начальству, и пусть те их либо заставляют работать или выдать тебе права - главное обьяснить почему тебе нужны эти права и что не работает. В большинстве случаев тебе просто дадут нужный уровень доступа. Так работает мир.

dragoangel

Капец фейспалм(. А по твоему Aliace NATIVE это что как не список ip к которому ты потом можешь обращаться для дальнейшего использования и который сам нику не всавлен... Например на основе whois резолвить IP...
Во вторых UNBOUND может все. И если что pfblocker просто инклудит свой конфиг в unbound вот так и лочит днс...
https://nlnetlabs.nl/documentation/unbound/
Давай учись) больше помочь нечем

dragoangel

This post is deleted!

dragoangel

@oleg1969 госпаде, ток что прочитал ваш пост полностью (и не понял че вы докопались), ну вы и наркоман сударь. Сами закопипастили цытату и читали ЖОПОЙ:
так и делать динамические правила или алиасы (списки ip) которые вы можете использовать в правилах файрвола как вам угодно.

Кто вообще говорит о том что возможно сделать такое как вы просите? Я говорю об IP, а не об dns. Читайте внимательно и не перекручивайте. Блокировики по dns не возможно завайтлистить - их можно просто проигнорировать используя другой днс. И по умолчанию эти блокировки держатся на чистом слове. dns over 853 tls, dns over 443 https. И все. Блочте по ip а не резолвингу dns, если так. тогда и обойти не получится (без впн) и гибко настроить правило для whitelisting одного клиента.
П.С. я не слова не сказал о том какой я спец и что я кого-то умнее, у вас явно проблемы с фантазией.

dragoangel

@oleg1969 вы влезли в чужой топик, пишите бред не вникая в тему топика и в сами коментарии в нем, еще й капсите на пол страницы. Если четырехзначное число в вашем нике это год рождения - то думаю вы взрослый дядька, а ведете себя вообще неадекватно. Аяяй. Банхамера на вас нет, но зато черный список - есть.
@oleg1969 said in pfSense за шлюзом, как заблокировать https:

Еще раз внимательно прочтите мой первый пост там как раз для тех кто читает именно ЖОПОЙ писалась про ЛАН а не блокировку DNS

Unbound это и есть DNS сервер, а DNSBL это и есть блокировка DNS.
P.S. : которым за 49рок в DHCP можно выдать статику и к ней сделать кастомный DNS для определеного МАС адреса. Дайте своему шефу другой DNS, а лучше другого админа.
На этом базар окончен, на сщастье я больше не увижу вас на этом чудесном ресурсе. Создайте свой топик и задавайте вопросы в нем если вам вообще кто то такому хаму захочет помогать.

nubik

@oleg1969 , а какой инструмент вы порекомендовали бы мне в моей ситуации?
Я совершенно не против вашего спора-в споре рождается истина, если морду никто никому не набьет. Но не захотели истину рождать. Вполне хорошую ситуацию привели-как сделать исключение из правил для одного хоста. Мало ли, директору или серверу WSUS пусть идут обновления....

Konstanti

@oleg1969 добрый вечер
Если не секрет, как должно выглядеть по-вашему такое правило?
Я тут поразмышлял, есть теоретическая возможность посылать dns запросы, минуя этот pfblocker, напрямую через pfsense

PbIXTOP

@Konstanti Лично я поднимал несколько экземпляров dnsmasq и просто натил запросы в них от определенных клиентов. Такое решение позволяло оставлять возможность работы локального ресолва.

werter

Доброго.

Работает исключение по IP для Unbound. Не без танцев, но работает.
https://forum.netgate.com/topic/129365/bypassing-dnsbl-for-specific-ips/

Помнить, что:

Please note, if you do an update, disable and re-enable DNSBL that line will be modified again back to the standard entry. You will need to check each time and remove any leading "server:" to ensure your expected behavior works as expected.

Я решил просто в DHCP Server LAN / DHCP Static Mappings for this Interface для конкретной машины (допустим 192.168.1.16) указал другой DNS допустим 8.8.4.4

У меня по dhcp в кач-ве dns клиентам раздаются ip-адреса контроллеров домена. И все dns-запросы завернуты на pf. Выдачей клиенту чего-то отличного от адресов контроллеров домена я лишаю его возможности разрешать внутренние доменные имена. Ваша схема работать не будет.

Konstanti

@werter Доброго вечера
Даже если заворачивать все DNS запросы на pf , есть лазейка как это обойти
Конечно , не в лоб это решается , но , вполне решаемо . Другое дело , нужно это или нет

werter

@Konstanti
Например, DOH linuxincluded.com/bypass-dns-controls-with-dns-over-https-no-bootstrap-required

werter

@oleg1969

У меня этого нет dns-запросы не завернуты поэтому и работает

У вас и домена-то нет )