Блокировка соцсетей



  • Здравствуйте. Перелопатил кучу сайтов. Прочитал уйму доков и понял для себя что pfsense не умеет блокировать соцсети по https в качестве прозрачного прокси.
    Непрозрачный (лазить в браузера узверов и прописывать прокси - не вариант).
    Даже паттерны создавал. ничего не помогает (Layer 7 блокирует все и вся, делал по ветке с этого же форума)
    Уважаемые гуру, подскажите по свежим версиям PF, может есть инструмент блокировки соцсетей. Сам мучал 2.1.5-RELEASE
    Но может в 2.4.4 есть какой либо инструмент?



  • Добрый
    @Александр
    В 2.4.х сквид умееет резать https-трафик.

    Огромная просьба НЕ ПОЛЬЗОВАТЬ старые версии пф без особой надобности. Это просто трата времени на борьбу с тем, что давно решено в свежем релизе.

    Для обновления пф развернуть свежий релиз на VBox и:

    Вар.1
    Попробовать подкинуть конфиг БЕЗ доп. пакетов с имеющегося сейчас и руками довести до нужной кондиции.

    Вар.2 (предпочтительный)
    Внимательно руками перенести настройки со старого на новый без подкидывания старого конфига.

    Затем выгрузить конфиг с настроенного нового, развернуть свежий пф вместо имеющегося сейчас на реальном оборудовании и подгрузить конфиг.

    Зы. Если не в курсе как развернуть пф на VBox - пишите в ЛС.



  • Хорошая новость. мне не нужно обновлять. на новом месте работы стоит керио винроутер. Он допотопный очень. на старом стоит pfsense 2.1.5/
    сейчас собираю комп что бы поставить новый Pfsense/ и там уже пытаться настроить блокировку https
    Наткнулся вчера на это видео https://www.youtube.com/watch?v=qPFluFcXD3Y
    где парень выписывает сертификат, устанавливает его на компьютер в хранилище доверенных. Делает настройку в сквиде и блокирует ютуб.
    Если это правильно то в принципе меня устроит. Или сквид в новых версиях прям без лишних телодвижений умеет блокировать https?
    Подскажите пожалуйста.



  • @Александр

    А если воспользоватся чисто firewall для блокировки соцсетей

    Создать алиас типа такого и привязать к нужному правилу на firewall
    000.jpg

    Ну и желательно дополнительное правило
    001.jpg



  • Спасибо за уделенное время. я попробую.



  • @blackWolf
    Здр
    Это полумера , потому что в Вашу таблицу попадут только те ip адреса , которые возвращаются в DNS ответе . А если ip адресов потенциально больше ????

    Блокировать в таком случае надо на уровне DNS запросов ( опять же это не даст 100 % гарантии блокировки)



  • микротик таким методом автоматом вычисляет все ip vk и держит их актуальными. а в PF sense не знаю.



  • @Александр

    в PF примерно тоже самое и алиас тоже регулярно обновляется

    000.jpg

    и всё работает , ну если нужно что то из вон выходящего поставте BIND
    создайте нужные зоны и будет счастье



  • Благодарю. буду пробовать. мануал бы еще годный какой нить)))))))



  • @Александр
    Насчёт BIND
    000.jpg

    Вот пример (сайты выбраны только для проверки на условия блокировки



  • BIND - это новый инструмент в новых версиях? Работает?
    в старом его не было



  • Дополнительный пакет (был и в старых версиях)

    Просто надо установить



  • Значит пропустил. Спасибо. буду пробовать.





  • Благодарю)



  • @Александр said in Блокировка соцсетей:

    Или сквид в новых версиях прям без лишних телодвижений умеет блокировать https?

    В новых версиях сквид УМЕЕТ (и в прозрачном режиме) резать httpS без установки сертификатов пол-лям.

    Зы. BIND для вашего ТЗ излишен. Это как из пушки по воробьям.



  • @Александр said in Блокировка соцсетей:
    Или сквид в новых версиях прям без лишних телодвижений умеет блокировать https?


    Умеет конечно резать https .(через одно место)
    Но не совсем правильно и без лишних телодвижений не обойтись (стоит ожидать не открытия некоторых сайтов тормоза итд и без пляски с бубном не обойтись)

    можно конечно поиграть с pfBlockerNG или E2guardian(пародия на Squid) но тормоза(иногда даже не открытие страниц будут присутствовать) и придется плясать☺
    По этому для корпоративной среды лучше исползовать
    чистый Firewall или стрелять из пушки по воробьям с помощью BIND



  • @blackWolf
    Ваш путь для решения этой задачи верен , но до тех пор пока серверов не станет очень много, и DNS ответы будут постоянно меняться, и TTL не станет равным , например , 1 минуте.
    Тогда содержимое Вашей таблицы не будет не совпадать с тем , что получит пользователь в DNS ответе. И пользователь сможет установить соединение с сервером .
    Это не касается варианта с Соцсетями на данный момент времени
    Но попробуйте , например , ввести несколько раз команду ( с интервалом 1 минута)
    nslookup netflix.com

    Каждый раз ответы будут разными ( какие-то хосты будут совпадать , но и новых ip адресов будет появляться достаточно много)



  • @Konstanti
    Блокировать что либо не простая задача ,даже Федералы не всё могут
    По этому довольствуемся тем что есть



  • Блин. сколько инфы. все. ставлю новый PFsense/
    Еще раз благодарю всех кто откликнулся))))
    Почитал про BIND по ссылке blackWolf
    разбираться и разбираться. Мощная штука)))



  • @Александр

    Еще одна ссылка про Bind
    Продвинутые настройки

    Перевод я думаю не нужен☺

    https://lexxai.blogspot.com/2019/01/pfsense-owerwrite-dns-records-on-bind.html
    https://www.escbackslash.com/network-security/dns-server/page-2/



  • Спасибо Большущее ребят))))



  • В дополнение к предедущим постам

    Если используете DNS resolver можно попробовать Domain Overrides для блокировки

    Это конечно не панацея но часто прокатывает

    000.jpg

    Ну и конечно нужно завернуть весь ДНС-трафик на лок. адрес пф.
    Как в моем первом посте



  • @Александр
    В правилах fw для блокировки соцсетей (СС) пользуйте Reject, а не Drop. Иначе сайты, к-ые содержат ссылки на CC будут открываться оч. долго.



  • Спасибо. учту))))))


Log in to reply