PFBlockerNG. возможно ли деление на группы?



  • Возможно ли разделение списков на пользователей или группы, чтобы для одних пользователей/клиентов сети блочились одни сайты, а для других- другие? Как, например, это реализовано в сквид.



  • Добрый

    mitky.com/pfblockerng-pfsense-filter-specific-clients-computers-network/

    Найдено в гугле по фразе "pfblockerng group"



  • это вариант "да" или "нет". либо фильтруем, либо напрямую. Тоже с этим вопросом сталкивался, но вопрос именно в разделении на разные группы. одним одно, другим - другое, третьим-третье.... как в сквид ACL.



  • @oleg1969 said in PFBlockerNG. возможно ли деление на группы?:

    @pavel444 said in PFBlockerNG. возможно ли деление на группы?:

    это вариант "да" или "нет". либо фильтруем, либо напрямую. Тоже с этим вопросом сталкивался, но вопрос именно в разделении на разные группы. одним одно, другим - другое, третьим-третье.... как в сквид ACL.

    Задавался давно таким вопросом и понял что нельзя простым способом (нет возможности использовать АЛИАСЫ в PFBlockerNG об этом писал и сам разработчик PFBlockerNG

    Благодарю, тогда вопрос снимается, закрываем тему.



  • @pavel444
    Можно
    Но не средствами PFBlockerNG
    Идея, если кратко, состоит в следующем
    Анализируем DNS ответы , попадающие под определенные критерии , результат этого парсинга заносим в таблицы PF , а дальше уже на основе этих таблиц создаем правила блокирующие/разрешающие или отправляющие трафик в нужном нам направлении
    В моем случае это выглядит так
    1 Написал маленького демона (dns_parser) , который перехватывает все DNS ответы

    bd8df8d7-a450-4791-a753-4cac295efdca-image.png

    Вот результат этого парсинга (на примере запроса к серверу Netflix)

    Oct 09 13:02:11 daemon started
    Found file /usr/local/tmp/dns_parser/db/netflix.db, restore table netflix_ip 
    Successfully restored 253 ip-addresses
    Found file /usr/local/tmp/dns_parser/db/nhl.db, restore table nhl_ip 
    Successfully restored 38 ip-addresses
    Found file /usr/local/tmp/dns_parser/db/ntvplus.db, restore table ntvplus_ip 
    Successfully restored 56 ip-addresses
    Found file /usr/local/tmp/dns_parser/db/hbo.db, restore table hbo_ip 
    Successfully restored 22 ip-addresses
    Found file /usr/local/tmp/dns_parser/db/mos.db, restore table mos_ip 
    Successfully restored 20 ip-addresses
    Oct 09 13:23:00 Get DNS response for server: android.prod.cloud.netflix.com
    Alias name(CNAME):  prod.cloud.geo.netflix.com
    Alias name(CNAME):  prod.cloud.eu-west-1.prodaa.netflix.com
    Domain name(ANAME):  prod.cloud.eu-west-1.prodaa.netflix.com
    IP address 18.202.190.126 will be added to table
    Domain name(ANAME):  prod.cloud.eu-west-1.prodaa.netflix.com
    IP address 18.203.1.253 will be added to table
    Domain name(ANAME):  prod.cloud.eu-west-1.prodaa.netflix.com
    IP address 34.247.78.137 will be added to table
    Total ip addresses to add 3, Succefully added 3 ip addresses  to table netflix_ip
    

    2 Создаем нужное мне правило ,для манипуляции данными из этой таблицы
    51ea87a1-0b22-4dfa-8619-0bc4ad255496-image.png

    1. Есть еще маленькая утилита , запуск которой вставил в один из файлов PF , которая сохраняет и восстанавливает содержимое таблиц , в случае перезагрузки правил .


  • @Konstanti

    Вам бы в разрабы к нетгейтам податься ) Я серъезно.


Log in to reply