Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    запрет сайтов на уровне DNS

    Russian
    4
    23
    9041
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • L
      l2grom last edited by

      На PF не могу настроить запрет сайтов на уровне DNS.

      например  *microsoft.com  microsoft  чтоб комп не мог ломануться туда не через шлюз не через ДНС.

      Как поставить заглушку, если кто имеет опыт поделитесь.

      1 Reply Last reply Reply Quote 0
      • D
        dvserg last edited by

        А какие действия соответствуют "На PF не могу настроить запрет сайтов на уровне DNS." ?

        SquidGuardDoc EN  RU Tutorial
        Localization ru_PFSense

        1 Reply Last reply Reply Quote 0
        • L
          l2grom last edited by

          @dvserg:

          А какие действия соответствуют "На PF не могу настроить запрет сайтов на уровне DNS." ?

          Firewall: Rules: Edit

          single host or alias
          network
          Lan addres
          Lan sunet
          нет  правила URL

          А мне необходимо блокировать по имени домена  пример yandex, и все сайты в имени которых встречаются yandex будут недоступны.

          1 Reply Last reply Reply Quote 0
          • L
            l2grom last edited by

            @l2grom:

            @dvserg:

            А какие действия соответствуют "На PF не могу настроить запрет сайтов на уровне DNS." ?

            Firewall: Rules: Edit

            single host or alias
            network
            Lan addres
            Lan sunet
            нет  правила URL

            А мне необходимо блокировать по имени домена  пример yandex, и все сайты в имени которых встречаются yandex будут недоступны.

            Добавлю, squid стоит на порту 3128, на этом уровне заблокировать yandex мне удалось, не чего сложного, но как это сделать для тех кто юзает не порт 3128 а ДНС и ШЛЮЗ

            1 Reply Last reply Reply Quote 0
            • D
              dvserg last edited by

              Запретить весь диапазон Йандекса, полученный с помощью nslookup.
              Если настроена служба ДНС форвардинг, то в ней можно сделать запись яндекса на несуществующий или локальный адрес.

              SquidGuardDoc EN  RU Tutorial
              Localization ru_PFSense

              1 Reply Last reply Reply Quote 0
              • L
                l2grom last edited by

                @dvserg:

                Запретить весь диапазон Йандекса, полученный с помощью nslookup.
                Если настроена служба ДНС форвардинг, то в ней можно сделать запись яндекса на несуществующий или локальный адрес.

                хм.. )))  ну   типа не можем блокировать то перенаправим..  блокировать та как нить умеет PF?  это не сарказм…

                1 Reply Last reply Reply Quote 0
                • Z
                  zar0ku1 last edited by

                  opendns и скайднс для кого делали?

                  и вообще с этим отлично справляется сквид

                  закрывайте темы, если ответ на ваш вопрос полон.
                  если схема сложная - не поленитесь ее нарисовать

                  1 Reply Last reply Reply Quote 0
                  • L
                    l2grom last edited by

                    @zar0ku1:

                    opendns и скайднс для кого делали?

                    и вообще с этим отлично справляется сквид

                    можно маленький пример реализации opendns и скайднс

                    1 Reply Last reply Reply Quote 0
                    • Z
                      zar0ku1 last edited by

                      @l2grom:

                      можно маленький пример реализации opendns и скайднс

                      эм, а в чем сложность? делаешь форвард днс на опенднс, регишь там аккаунт, фильтруешь
                      пользователям запрещаешь доступ к внешним днс (вдруг пропишут) с помощью фаервола

                      давай еще про сквид расскажу

                      acl BADSITES url_regex "/usr/local/etc/squid/bad_sites"
                      http_access deny BADSITES

                      а в файлег прописываешь с новой строчки

                      yandex
                      porno
                      microsoft

                      закрывайте темы, если ответ на ваш вопрос полон.
                      если схема сложная - не поленитесь ее нарисовать

                      1 Reply Last reply Reply Quote 0
                      • L
                        l2grom last edited by

                        acl BADSITES url_regex "/usr/local/etc/squid/bad_sites"
                        http_access deny BADSITES

                        это будет работать

                        те кто ходит через прокси х.х.х.х:3128
                        acl BADSITES url_regex "/usr/local/etc/squid/bad_sites"
                        http_access deny BADSITES

                        это не будет работать если клиент пойдет через шлюз и днс

                        192.168.1.56
                        255.255.255.0
                        шлюз 192.168.1.1
                        dns    192.168.1.1

                        1 Reply Last reply Reply Quote 0
                        • D
                          dvserg last edited by

                          @l2grom:

                          @dvserg:

                          Запретить весь диапазон Йандекса, полученный с помощью nslookup.
                          Если настроена служба ДНС форвардинг, то в ней можно сделать запись яндекса на несуществующий или локальный адрес.

                          хну   типа не можем блокировать то перенаправим..  блокировать та как нить умеет PF?  это не сарказм…

                          PF, работает с IP адресами и портами. URL это уже уровень прикладных программ.
                          Определите диапазон адресов yandex.ru и запретите их в файрволе.

                          SquidGuardDoc EN  RU Tutorial
                          Localization ru_PFSense

                          1 Reply Last reply Reply Quote 0
                          • D
                            dvserg last edited by

                            @l2grom:

                            например  *microsoft.com  microsoft  чтоб комп не мог ломануться туда не через шлюз не через ДНС.

                            Это работа для прокси-фильтра.

                            SquidGuardDoc EN  RU Tutorial
                            Localization ru_PFSense

                            1 Reply Last reply Reply Quote 0
                            • Z
                              zar0ku1 last edited by

                              @l2grom:

                              это не будет работать если клиент пойдет через шлюз и днс

                              192.168.1.56
                              255.255.255.0
                              шлюз 192.168.1.1
                              dns    192.168.1.1

                              а какого ты про это не написал в теме топика? - это раз
                              а нафиг такая схема? - это два

                              закрывайте темы, если ответ на ваш вопрос полон.
                              если схема сложная - не поленитесь ее нарисовать

                              1 Reply Last reply Reply Quote 0
                              • M
                                Mr. Boroda last edited by

                                а squid на этом же шлюзе установлен?

                                1 Reply Last reply Reply Quote 0
                                • L
                                  l2grom last edited by

                                  @Mr.:

                                  а squid на этом же шлюзе установлен?

                                  да squid на этом же шлюзе порт 3128.  частично решение нашол, создал lan правело и запретил выход в инет всем ip через шлюз, тупо
                                  deny  lan subnet * * *  , и создал одно правило открыл порт 3128, а в squidguard пофиксил все сайты по маске.
                                  Теперь формирую списки сайтов, доменов.. и прочего нежелательного мусора..
                                  Но возможно есть и более элегантное решение, но кроме платных серверов дунднс и.т.д. не хрена нет.

                                  И так результат
                                  1. Не кто из lan не сможет проломиться в инет минуя порт 3128, отпала замарочка с маками и ip … решение не элегантное но работает.
                                  2. Резка сайтов , отсеивание нежелательных доменов 100%.

                                  1 Reply Last reply Reply Quote 0
                                  • M
                                    Mr. Boroda last edited by

                                    При таком варианте самое удобное решение поставить прокси в прозрачный режим настроить SquidGuard и редиректить всех из локальной сети на него. Тогда нет необходимости прописывать прокси на клиенте. В файрволе запрещаете всем ходить на 80 и 443 порты.

                                    1 Reply Last reply Reply Quote 0
                                    • L
                                      l2grom last edited by

                                      @Mr.:

                                      При таком варианте самое удобное решение поставить прокси в прозрачный режим настроить SquidGuard и редиректить всех из локальной сети на него. Тогда нет необходимости прописывать прокси на клиенте. В файрволе запрещаете всем ходить на 80 и 443 порты.

                                      ходят по логину и паролю…, руководства требует политику паролей..

                                      1 Reply Last reply Reply Quote 0
                                      • Z
                                        zar0ku1 last edited by

                                        @l2grom:

                                        ходят по логину и паролю…, руководства требует политику паролей..

                                        и пусть ходят, нах разделят шлюз и прокси?

                                        закрывайте темы, если ответ на ваш вопрос полон.
                                        если схема сложная - не поленитесь ее нарисовать

                                        1 Reply Last reply Reply Quote 0
                                        • L
                                          l2grom last edited by

                                          @zar0ku1:

                                          @l2grom:

                                          ходят по логину и паролю…, руководства требует политику паролей..

                                          и пусть ходят, нах разделят шлюз и прокси?

                                          не все машины ходят по паролю, к примеру стоит ip телефония, астерикс, он чисто по шлюзу работает, ибо squid прокси касячит с некоторыми протоколами и не воспринимает некоторые пакеты  вообще…, и пришлось разделить шлюз и прокси ....

                                          антивирь не как не могу настроить на ПФ2.0, если указываю порт 3128 что и у прокси squid по которому все ходят, то аунтификация слетает и просто не запрашивает не логин не пароль.., если указываю порт отличный от прокси, то порт окрывается к примеру 3126, и через этот порт можно ломиться в инет без пароля, в чем изюминка этого антивира, как он работает, мануалы читал... но с английским слаб, чисто интуитивно с оринтироваться не могу ..
                                          как он работает?
                                          http://imagepost.ru/images/h/av/havp.JPG

                                          1 Reply Last reply Reply Quote 0
                                          • Z
                                            zar0ku1 last edited by

                                            @l2grom:

                                            не все машины ходят по паролю, к примеру стоит ip телефония, астерикс, он чисто по шлюзу работает, ибо squid прокси касячит с некоторыми протоколами и не воспринимает некоторые пакеты  вообще…, и пришлось разделить шлюз и прокси ....

                                            какие-то ужасы рассказываешь, прям конкретные… либо у тебя трудности с пониманием/настройкой

                                            перечисли чему надо ходить напрямую на шлюз, а чему через прокси? сколько подсетей, сколько хостов?

                                            закрывайте темы, если ответ на ваш вопрос полон.
                                            если схема сложная - не поленитесь ее нарисовать

                                            1 Reply Last reply Reply Quote 0
                                            • L
                                              l2grom last edited by

                                              с пониманием работы squid действительно проблема, на форумах пишут одно, в документации пишут другое ну А по ФАКТУ работает совершенно непредсказуемо. под сетей четыре, семь или восемь  ip смотрят напрямую в инет, остальные по паролю..

                                              через шлюз
                                              –-----------------------------------------
                                              192.168.0.1 тут и IP телефония и клиент банки
                                              ...
                                              192.......  7  и различные сервисы....

                                              по паролю

                                              192.168.6.1  
                                              .........                 ЮЗЕРЫ
                                              192.168.45.254

                                              как видите все просто до ужаса, на чистой freebsd организовать такое пол часа работы, но с ПФ разговор отдельный.., убиваю много времени и в итоге возвращаюсь к командной строке для точной настройки (слабоват еще видать для работы с оболочкой)..,  оболочка www это ФАС))), еще изучаю... много глючного, когда вообще первый раз ПФ поставил то спустя пару часов лазанья сложилось впечатление что я fee  вообще не знаю)))), а все потому , что много багов, выполнив настройки из www морды приходиться лезти в командную строку и править от туда, это печально, особенно если ты первопроходец. НО ПФ кой горжусь, ребята работают. правят, чинят.. Но больше всего меня привлекает ядро ), подчистили как следует.  Продолжаю изучать ПФ, преимущество и достоинства есть и не мало, один мониторинг чего стоит.. ну и конечно груповые правело создавать легче, сервера легче поднимать, выполнил пару настроек, поднял ВПН ( ВПН конечно не поднялся  ), но все же с камандной строки не как машинистка пишешь, а правишь пару конфигов и дело в шляпе. Сокращает время на поднятии шлюзов, прокси.. и.т.д.

                                              НУ и НАСТРОЧИЛ

                                              1 Reply Last reply Reply Quote 0
                                              • D
                                                dvserg last edited by

                                                Антивирус не поддерживает авторизацию. Он работает в 4 режимах - обычный AV прокси на выбранных интерфейсах, прокси для squid (настройки squid делаются автоматом), прозрачный прокси (трафик 80/443 заворачивается на прокси автоматически), internal - все правила для ловли трафика делают самостоятельно.

                                                В squid (могу ошибаться про последние версии) все transparent правила делаются для подсети интерфейса. То есть для остальных подсетей локалки вроде как нужно делать дополнительные правила перенаправления.

                                                Вот с этим " семь или восемь  ip смотрят напрямую в инет, остальные по паролю.. " недопонял - это в каком режиме у Вас squid не работает? Если прозрачный - см выше, если в обычном, то см свои правила файрвола, разрешающие прямой доступ в интернет.

                                                SquidGuardDoc EN  RU Tutorial
                                                Localization ru_PFSense

                                                1 Reply Last reply Reply Quote 0
                                                • L
                                                  l2grom last edited by

                                                  за разъяснения спс, пробовал тестовые вирусы, во всех режимах его работы, результат печальный… видит файлы которые пытаются загрузить пользователи или обновление гуглхрома и долбит это все,  одним словом ГОРЕ-АНТИВИРУС  абсолютно бесполезен,  нагрузка на сервер и глюки с squid, в голом виде древнейший вирус загрузил на файловый сервер и с легкостью скачал его назад, антивирус даже не чехнул. если его остановить то прокси падает и не хочет работать пока антивирус не стартануть.. т.е. если по каким-то причинам упадет антивирус то упадет прокси...  буду побывать сторонний пакет

                                                  1 Reply Last reply Reply Quote 0
                                                  • First post
                                                    Last post