запрет сайтов на уровне DNS

l2grom

На PF не могу настроить запрет сайтов на уровне DNS.

например  *microsoft.com  microsoft  чтоб комп не мог ломануться туда не через шлюз не через ДНС.

Как поставить заглушку, если кто имеет опыт поделитесь.

dvserg

А какие действия соответствуют "На PF не могу настроить запрет сайтов на уровне DNS." ?

l2grom

@dvserg:

А какие действия соответствуют "На PF не могу настроить запрет сайтов на уровне DNS." ?

Firewall: Rules: Edit

single host or alias
network
Lan addres
Lan sunet
нет  правила URL

А мне необходимо блокировать по имени домена  пример yandex, и все сайты в имени которых встречаются yandex будут недоступны.

l2grom

@l2grom:

@dvserg:

А какие действия соответствуют "На PF не могу настроить запрет сайтов на уровне DNS." ?

Firewall: Rules: Edit

single host or alias
network
Lan addres
Lan sunet
нет  правила URL

А мне необходимо блокировать по имени домена  пример yandex, и все сайты в имени которых встречаются yandex будут недоступны.

Добавлю, squid стоит на порту 3128, на этом уровне заблокировать yandex мне удалось, не чего сложного, но как это сделать для тех кто юзает не порт 3128 а ДНС и ШЛЮЗ

dvserg

Запретить весь диапазон Йандекса, полученный с помощью nslookup.
Если настроена служба ДНС форвардинг, то в ней можно сделать запись яндекса на несуществующий или локальный адрес.

l2grom

@dvserg:

Запретить весь диапазон Йандекса, полученный с помощью nslookup.
Если настроена служба ДНС форвардинг, то в ней можно сделать запись яндекса на несуществующий или локальный адрес.

хм.. )))  ну   типа не можем блокировать то перенаправим..  блокировать та как нить умеет PF?  это не сарказм…

zar0ku1

opendns и скайднс для кого делали?

и вообще с этим отлично справляется сквид

l2grom

@zar0ku1:

opendns и скайднс для кого делали?

и вообще с этим отлично справляется сквид

можно маленький пример реализации opendns и скайднс

zar0ku1

@l2grom:

можно маленький пример реализации opendns и скайднс

эм, а в чем сложность? делаешь форвард днс на опенднс, регишь там аккаунт, фильтруешь
пользователям запрещаешь доступ к внешним днс (вдруг пропишут) с помощью фаервола

давай еще про сквид расскажу

acl BADSITES url_regex "/usr/local/etc/squid/bad_sites"
http_access deny BADSITES

а в файлег прописываешь с новой строчки

yandex
porno
microsoft

l2grom

acl BADSITES url_regex "/usr/local/etc/squid/bad_sites"
http_access deny BADSITES

это будет работать

те кто ходит через прокси х.х.х.х:3128
acl BADSITES url_regex "/usr/local/etc/squid/bad_sites"
http_access deny BADSITES

это не будет работать если клиент пойдет через шлюз и днс

192.168.1.56
255.255.255.0
шлюз 192.168.1.1
dns    192.168.1.1

dvserg

@l2grom:

@dvserg:

Запретить весь диапазон Йандекса, полученный с помощью nslookup.
Если настроена служба ДНС форвардинг, то в ней можно сделать запись яндекса на несуществующий или локальный адрес.

хну   типа не можем блокировать то перенаправим..  блокировать та как нить умеет PF?  это не сарказм…

PF, работает с IP адресами и портами. URL это уже уровень прикладных программ.
Определите диапазон адресов yandex.ru и запретите их в файрволе.

dvserg

@l2grom:

например  *microsoft.com  microsoft  чтоб комп не мог ломануться туда не через шлюз не через ДНС.

Это работа для прокси-фильтра.

zar0ku1

@l2grom:

это не будет работать если клиент пойдет через шлюз и днс

192.168.1.56
255.255.255.0
шлюз 192.168.1.1
dns    192.168.1.1

а какого ты про это не написал в теме топика? - это раз
а нафиг такая схема? - это два

Mr. Boroda

а squid на этом же шлюзе установлен?

l2grom

@Mr.:

а squid на этом же шлюзе установлен?

да squid на этом же шлюзе порт 3128.  частично решение нашол, создал lan правело и запретил выход в инет всем ip через шлюз, тупо
deny  lan subnet * * *  , и создал одно правило открыл порт 3128, а в squidguard пофиксил все сайты по маске.
Теперь формирую списки сайтов, доменов.. и прочего нежелательного мусора..
Но возможно есть и более элегантное решение, но кроме платных серверов дунднс и.т.д. не хрена нет.

И так результат
1. Не кто из lan не сможет проломиться в инет минуя порт 3128, отпала замарочка с маками и ip … решение не элегантное но работает.
2. Резка сайтов , отсеивание нежелательных доменов 100%.

Mr. Boroda

При таком варианте самое удобное решение поставить прокси в прозрачный режим настроить SquidGuard и редиректить всех из локальной сети на него. Тогда нет необходимости прописывать прокси на клиенте. В файрволе запрещаете всем ходить на 80 и 443 порты.

l2grom

@Mr.:

При таком варианте самое удобное решение поставить прокси в прозрачный режим настроить SquidGuard и редиректить всех из локальной сети на него. Тогда нет необходимости прописывать прокси на клиенте. В файрволе запрещаете всем ходить на 80 и 443 порты.

ходят по логину и паролю…, руководства требует политику паролей..

zar0ku1

@l2grom:

ходят по логину и паролю…, руководства требует политику паролей..

и пусть ходят, нах разделят шлюз и прокси?

l2grom

@zar0ku1:

@l2grom:

ходят по логину и паролю…, руководства требует политику паролей..

и пусть ходят, нах разделят шлюз и прокси?

не все машины ходят по паролю, к примеру стоит ip телефония, астерикс, он чисто по шлюзу работает, ибо squid прокси касячит с некоторыми протоколами и не воспринимает некоторые пакеты  вообще…, и пришлось разделить шлюз и прокси ....

антивирь не как не могу настроить на ПФ2.0, если указываю порт 3128 что и у прокси squid по которому все ходят, то аунтификация слетает и просто не запрашивает не логин не пароль.., если указываю порт отличный от прокси, то порт окрывается к примеру 3126, и через этот порт можно ломиться в инет без пароля, в чем изюминка этого антивира, как он работает, мануалы читал... но с английским слаб, чисто интуитивно с оринтироваться не могу ..
как он работает?
http://imagepost.ru/images/h/av/havp.JPG

zar0ku1

@l2grom:

не все машины ходят по паролю, к примеру стоит ip телефония, астерикс, он чисто по шлюзу работает, ибо squid прокси касячит с некоторыми протоколами и не воспринимает некоторые пакеты  вообще…, и пришлось разделить шлюз и прокси ....

какие-то ужасы рассказываешь, прям конкретные… либо у тебя трудности с пониманием/настройкой

перечисли чему надо ходить напрямую на шлюз, а чему через прокси? сколько подсетей, сколько хостов?

l2grom

с пониманием работы squid действительно проблема, на форумах пишут одно, в документации пишут другое ну А по ФАКТУ работает совершенно непредсказуемо. под сетей четыре, семь или восемь  ip смотрят напрямую в инет, остальные по паролю..

через шлюз
–-----------------------------------------
192.168.0.1 тут и IP телефония и клиент банки
...
192.......  7  и различные сервисы....

по паролю

192.168.6.1  
.........                 ЮЗЕРЫ
192.168.45.254

как видите все просто до ужаса, на чистой freebsd организовать такое пол часа работы, но с ПФ разговор отдельный.., убиваю много времени и в итоге возвращаюсь к командной строке для точной настройки (слабоват еще видать для работы с оболочкой)..,  оболочка www это ФАС))), еще изучаю... много глючного, когда вообще первый раз ПФ поставил то спустя пару часов лазанья сложилось впечатление что я fee  вообще не знаю)))), а все потому , что много багов, выполнив настройки из www морды приходиться лезти в командную строку и править от туда, это печально, особенно если ты первопроходец. НО ПФ кой горжусь, ребята работают. правят, чинят.. Но больше всего меня привлекает ядро ), подчистили как следует.  Продолжаю изучать ПФ, преимущество и достоинства есть и не мало, один мониторинг чего стоит.. ну и конечно груповые правело создавать легче, сервера легче поднимать, выполнил пару настроек, поднял ВПН ( ВПН конечно не поднялся  ), но все же с камандной строки не как машинистка пишешь, а правишь пару конфигов и дело в шляпе. Сокращает время на поднятии шлюзов, прокси.. и.т.д.

НУ и НАСТРОЧИЛ

dvserg

Антивирус не поддерживает авторизацию. Он работает в 4 режимах - обычный AV прокси на выбранных интерфейсах, прокси для squid (настройки squid делаются автоматом), прозрачный прокси (трафик 80/443 заворачивается на прокси автоматически), internal - все правила для ловли трафика делают самостоятельно.

В squid (могу ошибаться про последние версии) все transparent правила делаются для подсети интерфейса. То есть для остальных подсетей локалки вроде как нужно делать дополнительные правила перенаправления.

Вот с этим " семь или восемь  ip смотрят напрямую в инет, остальные по паролю.. " недопонял - это в каком режиме у Вас squid не работает? Если прозрачный - см выше, если в обычном, то см свои правила файрвола, разрешающие прямой доступ в интернет.

l2grom

за разъяснения спс, пробовал тестовые вирусы, во всех режимах его работы, результат печальный… видит файлы которые пытаются загрузить пользователи или обновление гуглхрома и долбит это все,  одним словом ГОРЕ-АНТИВИРУС  абсолютно бесполезен,  нагрузка на сервер и глюки с squid, в голом виде древнейший вирус загрузил на файловый сервер и с легкостью скачал его назад, антивирус даже не чехнул. если его остановить то прокси падает и не хочет работать пока антивирус не стартануть.. т.е. если по каким-то причинам упадет антивирус то упадет прокси...  буду побывать сторонний пакет