Блокировка соцсетей
-
Здравствуйте. Перелопатил кучу сайтов. Прочитал уйму доков и понял для себя что pfsense не умеет блокировать соцсети по https в качестве прозрачного прокси.
Непрозрачный (лазить в браузера узверов и прописывать прокси - не вариант).
Даже паттерны создавал. ничего не помогает (Layer 7 блокирует все и вся, делал по ветке с этого же форума)
Уважаемые гуру, подскажите по свежим версиям PF, может есть инструмент блокировки соцсетей. Сам мучал 2.1.5-RELEASE
Но может в 2.4.4 есть какой либо инструмент? -
Добрый
@Александр
В 2.4.х сквид умееет резать https-трафик.Огромная просьба НЕ ПОЛЬЗОВАТЬ старые версии пф без особой надобности. Это просто трата времени на борьбу с тем, что давно решено в свежем релизе.
Для обновления пф развернуть свежий релиз на VBox и:
Вар.1
Попробовать подкинуть конфиг БЕЗ доп. пакетов с имеющегося сейчас и руками довести до нужной кондиции.Вар.2 (предпочтительный)
Внимательно руками перенести настройки со старого на новый без подкидывания старого конфига.Затем выгрузить конфиг с настроенного нового, развернуть свежий пф вместо имеющегося сейчас на реальном оборудовании и подгрузить конфиг.
Зы. Если не в курсе как развернуть пф на VBox - пишите в ЛС.
-
Хорошая новость. мне не нужно обновлять. на новом месте работы стоит керио винроутер. Он допотопный очень. на старом стоит pfsense 2.1.5/
сейчас собираю комп что бы поставить новый Pfsense/ и там уже пытаться настроить блокировку https
Наткнулся вчера на это видео https://www.youtube.com/watch?v=qPFluFcXD3Y
где парень выписывает сертификат, устанавливает его на компьютер в хранилище доверенных. Делает настройку в сквиде и блокирует ютуб.
Если это правильно то в принципе меня устроит. Или сквид в новых версиях прям без лишних телодвижений умеет блокировать https?
Подскажите пожалуйста. -
А если воспользоватся чисто firewall для блокировки соцсетей
Создать алиас типа такого и привязать к нужному правилу на firewall
Ну и желательно дополнительное правило
-
Спасибо за уделенное время. я попробую.
-
@blackWolf
Здр
Это полумера , потому что в Вашу таблицу попадут только те ip адреса , которые возвращаются в DNS ответе . А если ip адресов потенциально больше ????Блокировать в таком случае надо на уровне DNS запросов ( опять же это не даст 100 % гарантии блокировки)
-
микротик таким методом автоматом вычисляет все ip vk и держит их актуальными. а в PF sense не знаю.
-
в PF примерно тоже самое и алиас тоже регулярно обновляется
и всё работает , ну если нужно что то из вон выходящего поставте BIND
создайте нужные зоны и будет счастье -
Благодарю. буду пробовать. мануал бы еще годный какой нить)))))))
-
@Александр
Насчёт BIND
Вот пример (сайты выбраны только для проверки на условия блокировки
-
BIND - это новый инструмент в новых версиях? Работает?
в старом его не было -
Дополнительный пакет (был и в старых версиях)
Просто надо установить
-
Значит пропустил. Спасибо. буду пробовать.
-
Одна из ссылок о BIND
https://www.raffaelechiatto.com/installazione-e-configurazione-di-bind-dns-su-pfsense/
-
Благодарю)
-
@Александр said in Блокировка соцсетей:
Или сквид в новых версиях прям без лишних телодвижений умеет блокировать https?
В новых версиях сквид УМЕЕТ (и в прозрачном режиме) резать httpS без установки сертификатов пол-лям.
Зы. BIND для вашего ТЗ излишен. Это как из пушки по воробьям.
-
@Александр said in Блокировка соцсетей:
Или сквид в новых версиях прям без лишних телодвижений умеет блокировать https?
Умеет конечно резать https .(через одно место)
Но не совсем правильно и без лишних телодвижений не обойтись (стоит ожидать не открытия некоторых сайтов тормоза итд и без пляски с бубном не обойтись)можно конечно поиграть с pfBlockerNG или E2guardian(пародия на Squid) но тормоза(иногда даже не открытие страниц будут присутствовать) и придется плясать
По этому для корпоративной среды лучше исползовать
чистый Firewall или стрелять из пушки по воробьям с помощью BIND -
@blackWolf
Ваш путь для решения этой задачи верен , но до тех пор пока серверов не станет очень много, и DNS ответы будут постоянно меняться, и TTL не станет равным , например , 1 минуте.
Тогда содержимое Вашей таблицы не будет не совпадать с тем , что получит пользователь в DNS ответе. И пользователь сможет установить соединение с сервером .
Это не касается варианта с Соцсетями на данный момент времени
Но попробуйте , например , ввести несколько раз команду ( с интервалом 1 минута)
nslookup netflix.comКаждый раз ответы будут разными ( какие-то хосты будут совпадать , но и новых ip адресов будет появляться достаточно много)
-
@Konstanti
Блокировать что либо не простая задача ,даже Федералы не всё могут
По этому довольствуемся тем что есть -
Блин. сколько инфы. все. ставлю новый PFsense/
Еще раз благодарю всех кто откликнулся))))
Почитал про BIND по ссылке blackWolf
разбираться и разбираться. Мощная штука)))
