Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    Pfsense 2.1 + nat + блокировка сайтов

    Russian
    6
    20
    14242
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • D
      duh_s last edited by

      подскажите\поможите:
      установлен pfsense 2.1, инет раздается через nat, настроена балансировка
      как заблокировать сайты (типа вк и т.д.) определенным ip из лана?

      1 Reply Last reply Reply Quote 0
      • D
        dvserg last edited by

        Правилами файрвола на LAN

        1 Reply Last reply Reply Quote 0
        • L
          linder008 last edited by

          Блокировку сайтов можно сделать при помощи proxy сервера squid.
          Для установки зайди в System->packages->avalibale packages
          Там найдешь пакет squid (я устанавливал версии 2.7.9 pkg v.4.3.3, но можешь попробовать и squid3).
          Можешь также доставить пакет Lightsquid - довольно удобный лог со статистикой.
          После установки squid проверь запустился ли он status->services - squid должен быть run
          Теперь по настройке:
          1.Проверь правильно ли у тебя настроены ДНС.
          2.Открой 53 порт на внутренней сети
          3.Все настройки squid находятся в services->proxy server.
          4.Все настройки по блокировке во вкладке Access control

          Для настройки воспользуйся вот этим манулом

          1 Reply Last reply Reply Quote 0
          • D
            duh_s last edited by

            IPv4 *  *  *  block_ *  *  none

            IPv4 *  block_ *  *  *  *  none

            в файрволе на интерфейс лан создал 2 правила (block_ - альяс блокируемых ip)
            и не работает - все равно пускает на них

            1 Reply Last reply Reply Quote 0
            • D
              dvserg last edited by

              Важен порядок правил. Скриншот правил дайте.

              1 Reply Last reply Reply Quote 0
              • werter
                werter last edited by

                А вы знаете сколько адресов\подсетей вам нужно блокировать для ВК, Одноглазников и т.д ?! Их там очччччень много.
                Думается, вам легче разрешить только те сайты, к-ые вам нужны , а остальное блокировать. Плюс, можно и сквидом со сквидгвардом воспользоваться.

                1 Reply Last reply Reply Quote 0
                • D
                  dvserg last edited by

                  @werter:

                  А вы знаете сколько адресов\подсетей вам нужно блокировать для ВК, Одноглазников и т.д ?! Их там очччччень много.
                  Думается, вам легче разрешить только те сайты, к-ые вам нужны , а остальное блокировать. Плюс, можно и сквидом со сквидгвардом воспользоваться.

                  Ну самом деле у ВК, к примеру, одна подсеть но очень большая.
                  У других думаю так же.

                  1 Reply Last reply Reply Quote 0
                  • werter
                    werter last edited by

                    Не одна, не одна :

                    http://bgp.he.net/AS49988#_prefixes

                    http://bgp.he.net/AS47541#_prefixes

                    Плюс никто не запрещал анонимайзеры, прокси и всякие впн-ы  8)

                    1 Reply Last reply Reply Quote 0
                    • D
                      dvserg last edited by

                      @werter:

                      Не одна, не одна :

                      http://bgp.he.net/AS49988#_prefixes

                      http://bgp.he.net/AS47541#_prefixes

                      Плюс никто не запрещал анонимайзеры, прокси и всякие впн-ы  8)

                      Окаг я как-то на АДСЛ модеме блочил ВК - но только 87.240.128.0/18.  :o
                      Рытсяа в инете времени правда небыло

                      1 Reply Last reply Reply Quote 0
                      • N
                        NegoroX last edited by

                        Окаг я как-то на АДСЛ модеме блочил ВК - но только 87.240.128.0/18.  :o
                        Рытсяа в инете времени правда небыло

                        а так пропустит?  ;) https://vk.com/

                        1 Reply Last reply Reply Quote 0
                        • werter
                          werter last edited by

                          а так пропустит?  ;) https://vk.com/

                          Если блокировать по IP\подсетям, то с какой радости пропустит?

                          1 Reply Last reply Reply Quote 0
                          • D
                            dvserg last edited by

                            @NegoroX:

                            Окаг я как-то на АДСЛ модеме блочил ВК - но только 87.240.128.0/18.  :o
                            Рытсяа в инете времени правда небыло

                            а так пропустит?  ;) https://vk.com/

                            Если блокировать по IP - без разницы на протоколы.
                            А списочек завтра дополню :D

                            1 Reply Last reply Reply Quote 0
                            • N
                              NegoroX last edited by

                              @dvserg:

                              Если блокировать по IP - без разницы на протоколы.
                              А списочек завтра дополню :D

                              да уж дилемма  :)
                              1. блокировать все и разрешить только "нужное"
                              2. разрешить все и блокировать "не нужное"

                              1 Reply Last reply Reply Quote 0
                              • N
                                NetWiz last edited by

                                Отдельную тему не завожу, но вот известно что оптимально блокировать на L7 уровне (в FAQ есть ссылка). Сегодня попробывал: вместо того чтобы совсем блокировать и иметь проблемы с отображением страниц, ставлю лимитирование трафика. Применил к фильтрации HTTPS трафика, который как известно идет минуя Squid. Сайты открываются, но медленно. Никто особенно не возмущается (пока).

                                1 Reply Last reply Reply Quote 0
                                • D
                                  duh_s last edited by

                                  @werter:

                                  Не одна, не одна :

                                  http://bgp.he.net/AS49988#_prefixes

                                  http://bgp.he.net/AS47541#_prefixes

                                  Плюс никто не запрещал анонимайзеры, прокси и всякие впн-ы  8)

                                  спасибо )

                                  по скринам лишнее в floating?




                                  1 Reply Last reply Reply Quote 0
                                  • werter
                                    werter last edited by

                                    1. Во Флоатинг блокирующие правила? Убирайте их оттуда.
                                    2. Что есть алиас block_ ? Если это перечень адресов из LAN , то первое блокирующее правило на LAN неверно, если внешние ресурсы - второе не к месту. Разбирайтесь.

                                    1 Reply Last reply Reply Quote 0
                                    • D
                                      duh_s last edited by

                                      block_ - альяс из внешних подсетей однокласников и вконтакта

                                      1 Reply Last reply Reply Quote 0
                                      • werter
                                        werter last edited by

                                        1. Во Флоатинг блокирующие правила? Убирайте их оттуда.

                                        2. Если внешние ресурсы - второе не к месту

                                        Правила для запрета\разрешения доступа внешних адресов к LAN рисуется на WAN

                                        1 Reply Last reply Reply Quote 0
                                        • N
                                          NetWiz last edited by

                                          Еще не заметил, делал ли автор сброс соединений pf в меню Diagnostics: Reset state или страница /diag_resetstate.php

                                          1 Reply Last reply Reply Quote 0
                                          • D
                                            duh_s last edited by

                                            сброс делал, пока вроде блокирует по ip взятым с
                                            http://bgp.he.net/AS49988#_prefixes


                                            1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post

                                            Products

                                            • Platform Overview
                                            • TNSR
                                            • pfSense
                                            • Appliances

                                            Services

                                            • Training
                                            • Professional Services

                                            Support

                                            • Subscription Plans
                                            • Contact Support
                                            • Product Lifecycle
                                            • Documentation

                                            News

                                            • Media Coverage
                                            • Press
                                            • Events

                                            Resources

                                            • Blog
                                            • FAQ
                                            • Find a Partner
                                            • Resource Library
                                            • Security Information

                                            Company

                                            • About Us
                                            • Careers
                                            • Partners
                                            • Contact Us
                                            • Legal
                                            Our Mission

                                            We provide leading-edge network security at a fair price - regardless of organizational size or network sophistication. We believe that an open-source security model offers disruptive pricing along with the agility required to quickly address emerging threats.

                                            Subscribe to our Newsletter

                                            Product information, software announcements, and special offers. See our newsletter archive to sign up for future newsletters and to read past announcements.

                                            © 2021 Rubicon Communications, LLC | Privacy Policy