Pfsense 2.1 + nat + блокировка сайтов



  • подскажите\поможите:
    установлен pfsense 2.1, инет раздается через nat, настроена балансировка
    как заблокировать сайты (типа вк и т.д.) определенным ip из лана?



  • Правилами файрвола на LAN



  • Блокировку сайтов можно сделать при помощи proxy сервера squid.
    Для установки зайди в System->packages->avalibale packages
    Там найдешь пакет squid (я устанавливал версии 2.7.9 pkg v.4.3.3, но можешь попробовать и squid3).
    Можешь также доставить пакет Lightsquid - довольно удобный лог со статистикой.
    После установки squid проверь запустился ли он status->services - squid должен быть run
    Теперь по настройке:
    1.Проверь правильно ли у тебя настроены ДНС.
    2.Открой 53 порт на внутренней сети
    3.Все настройки squid находятся в services->proxy server.
    4.Все настройки по блокировке во вкладке Access control

    Для настройки воспользуйся вот этим манулом



  • IPv4 *  *  *  block_ *  *  none

    IPv4 *  block_ *  *  *  *  none

    в файрволе на интерфейс лан создал 2 правила (block_ - альяс блокируемых ip)
    и не работает - все равно пускает на них



  • Важен порядок правил. Скриншот правил дайте.



  • А вы знаете сколько адресов\подсетей вам нужно блокировать для ВК, Одноглазников и т.д ?! Их там очччччень много.
    Думается, вам легче разрешить только те сайты, к-ые вам нужны , а остальное блокировать. Плюс, можно и сквидом со сквидгвардом воспользоваться.



  • @werter:

    А вы знаете сколько адресов\подсетей вам нужно блокировать для ВК, Одноглазников и т.д ?! Их там очччччень много.
    Думается, вам легче разрешить только те сайты, к-ые вам нужны , а остальное блокировать. Плюс, можно и сквидом со сквидгвардом воспользоваться.

    Ну самом деле у ВК, к примеру, одна подсеть но очень большая.
    У других думаю так же.



  • Не одна, не одна :

    http://bgp.he.net/AS49988#_prefixes

    http://bgp.he.net/AS47541#_prefixes

    Плюс никто не запрещал анонимайзеры, прокси и всякие впн-ы  8)



  • @werter:

    Не одна, не одна :

    http://bgp.he.net/AS49988#_prefixes

    http://bgp.he.net/AS47541#_prefixes

    Плюс никто не запрещал анонимайзеры, прокси и всякие впн-ы  8)

    Окаг я как-то на АДСЛ модеме блочил ВК - но только 87.240.128.0/18.  :o
    Рытсяа в инете времени правда небыло



  • Окаг я как-то на АДСЛ модеме блочил ВК - но только 87.240.128.0/18.  :o
    Рытсяа в инете времени правда небыло

    а так пропустит?  ;) https://vk.com/



  • а так пропустит?  ;) https://vk.com/

    Если блокировать по IP\подсетям, то с какой радости пропустит?



  • @NegoroX:

    Окаг я как-то на АДСЛ модеме блочил ВК - но только 87.240.128.0/18.  :o
    Рытсяа в инете времени правда небыло

    а так пропустит?  ;) https://vk.com/

    Если блокировать по IP - без разницы на протоколы.
    А списочек завтра дополню :D



  • @dvserg:

    Если блокировать по IP - без разницы на протоколы.
    А списочек завтра дополню :D

    да уж дилемма  :)
    1. блокировать все и разрешить только "нужное"
    2. разрешить все и блокировать "не нужное"



  • Отдельную тему не завожу, но вот известно что оптимально блокировать на L7 уровне (в FAQ есть ссылка). Сегодня попробывал: вместо того чтобы совсем блокировать и иметь проблемы с отображением страниц, ставлю лимитирование трафика. Применил к фильтрации HTTPS трафика, который как известно идет минуя Squid. Сайты открываются, но медленно. Никто особенно не возмущается (пока).



  • @werter:

    Не одна, не одна :

    http://bgp.he.net/AS49988#_prefixes

    http://bgp.he.net/AS47541#_prefixes

    Плюс никто не запрещал анонимайзеры, прокси и всякие впн-ы  8)

    спасибо )

    по скринам лишнее в floating?






  • 1. Во Флоатинг блокирующие правила? Убирайте их оттуда.
    2. Что есть алиас block_ ? Если это перечень адресов из LAN , то первое блокирующее правило на LAN неверно, если внешние ресурсы - второе не к месту. Разбирайтесь.



  • block_ - альяс из внешних подсетей однокласников и вконтакта



  • 1. Во Флоатинг блокирующие правила? Убирайте их оттуда.

    2. Если внешние ресурсы - второе не к месту

    Правила для запрета\разрешения доступа внешних адресов к LAN рисуется на WAN



  • Еще не заметил, делал ли автор сброс соединений pf в меню Diagnostics: Reset state или страница /diag_resetstate.php



  • сброс делал, пока вроде блокирует по ip взятым с
    http://bgp.he.net/AS49988#_prefixes