permettere navigazione solo verso alcuni domini senza configurazione proxy
-
ciao a tutti,
avrei la necessità di abilitare solo la navigazione verso alcuni domini del tipo *.dominio.com e bloccare tutto il resto;
con squid + squidguard questo è possibile, ma purtroppo il software che devo usare necessita della navigazione diretta verso alcuni domini senza passare nel proxy;
come posso risolvere?
il software in questione è Larksuite:
https://larksuite.help/hc/en-us/articles/360044784554-FAQ-Which-domains-and-IP-addresses-need-to-be-whitelisted-for-calls-and-meetingsanche impostando il proxy le call e meeting non funzionano finchè non riesco a permettere direttamente questi domini:
*.larksuite.com
*.ibytedtos.com
*.byteoversea.com
*.larksuitecdn.comgrazie dell'aiuto
-
Ciao,
Puoi usare pfBlocker devel attivando e configurando il modulo DNSBLCiao Fabio
-
non ho trovato come usare pfBlocker per bloccare tutto il traffico e permettere solo alcuni domini :(
normalmente viene usato in maniera contraria , cioè bloccare alcuni domini ....
inoltre è possibile usarlo se i client hanno configurato come dns il server win 2016 di active directory? o necessitano come DNS pfSense? -
pfBlocker crea solo degli alias e poi li associa a delle regole quindi da pfblocker puoi gestire la whitelist mentre metti una regola che blocchi tutto il traffico direttamente nelle rules del firewall
Ciao Fabio -
@fabio-vigano said in permettere navigazione solo verso alcuni domini senza configurazione proxy:
pfBlocker crea solo degli alias e poi li associa a delle regole quindi da pfblocker puoi gestire la whitelist mentre metti una regola che blocchi tutto il traffico direttamente nelle rules del firewall
Ciao Fabioinoltre è possibile usarlo se i client hanno configurato come dns il server win 2016 di active directory? o necessitano come DNS pfSense (attivando DNS Resolver)?
-
Si, puoi usarlo, basta che il DNS di Win 2016 faccia forward verso il dns di pfsense
Ciao -
@fabio-vigano said in permettere navigazione solo verso alcuni domini senza configurazione proxy:
Si, puoi usarlo, basta che il DNS di Win 2016 faccia forward verso il dns di pfsense
Ciaooppure potrei modificare il DHCP attivo sul server win 2016 e far assegnare come DNS pfsense hai client e impostare in pfsense:
ip (es. 192.168.1.1) del server win 2016 in modo da risolvere correttamente i pc dell'active directory e allo stesso tempo la risoluzione verso internet già configurata sul server win 2016 con server d'inoltro Cloudflare, che ne pensi? -
@xalex1977 no, il DNS di Windows ha funzioni particolari per la gestione del dominio.
Non farei mai una configurazione simile.
Ciao -
ho abilitato pfblockerng e ho inserito in whitelist:
poi non capisco come devo configurarlo, se su rules blocco in out la navigazione in ogni caso anche i domini in whitelist non funzionano anche se presente:
questa regola che crea in automatico contiene solo alcuni indirizzi ip e non i domini che devo sbloccare,
online non sono riuscito a trovare una guida per abilitare solo alcuni domini :(mi sembra di capire che la rules non la crea con i domini quindi per me inutile
-
alla fine ho risolto usando Squid in modalità "trasparent proxy" + SquidGuard negando tutto da Squidguard e permettendo solo i domini e sottodomini di Lark:
specificandoli su SquidGuard in "target categories" Domain List:
il server windows assegna hai client come gateway l'ip di PfSense che a sua volta fa passare tutto il traffico attraverso il proxy trasparente
-
nel log di Squid (trasparent proxy) trovo moltissimi errori di questo tipo:
NONE/000 error:transaction-end-before-headers
NONE/503 http:443
NONE/200 http:443
da cosa dipende?
è un problema?
