Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    Pfsense 2.1 + nat + блокировка сайтов

    Russian
    6
    20
    15253
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • D
      duh_s last edited by

      подскажите\поможите:
      установлен pfsense 2.1, инет раздается через nat, настроена балансировка
      как заблокировать сайты (типа вк и т.д.) определенным ip из лана?

      1 Reply Last reply Reply Quote 0
      • D
        dvserg last edited by

        Правилами файрвола на LAN

        SquidGuardDoc EN  RU Tutorial
        Localization ru_PFSense

        1 Reply Last reply Reply Quote 0
        • L
          linder008 last edited by

          Блокировку сайтов можно сделать при помощи proxy сервера squid.
          Для установки зайди в System->packages->avalibale packages
          Там найдешь пакет squid (я устанавливал версии 2.7.9 pkg v.4.3.3, но можешь попробовать и squid3).
          Можешь также доставить пакет Lightsquid - довольно удобный лог со статистикой.
          После установки squid проверь запустился ли он status->services - squid должен быть run
          Теперь по настройке:
          1.Проверь правильно ли у тебя настроены ДНС.
          2.Открой 53 порт на внутренней сети
          3.Все настройки squid находятся в services->proxy server.
          4.Все настройки по блокировке во вкладке Access control

          Для настройки воспользуйся вот этим манулом

          1 Reply Last reply Reply Quote 0
          • D
            duh_s last edited by

            IPv4 *  *  *  block_ *  *  none

            IPv4 *  block_ *  *  *  *  none

            в файрволе на интерфейс лан создал 2 правила (block_ - альяс блокируемых ip)
            и не работает - все равно пускает на них

            1 Reply Last reply Reply Quote 0
            • D
              dvserg last edited by

              Важен порядок правил. Скриншот правил дайте.

              SquidGuardDoc EN  RU Tutorial
              Localization ru_PFSense

              1 Reply Last reply Reply Quote 0
              • werter
                werter last edited by

                А вы знаете сколько адресов\подсетей вам нужно блокировать для ВК, Одноглазников и т.д ?! Их там очччччень много.
                Думается, вам легче разрешить только те сайты, к-ые вам нужны , а остальное блокировать. Плюс, можно и сквидом со сквидгвардом воспользоваться.

                1 Reply Last reply Reply Quote 0
                • D
                  dvserg last edited by

                  @werter:

                  А вы знаете сколько адресов\подсетей вам нужно блокировать для ВК, Одноглазников и т.д ?! Их там очччччень много.
                  Думается, вам легче разрешить только те сайты, к-ые вам нужны , а остальное блокировать. Плюс, можно и сквидом со сквидгвардом воспользоваться.

                  Ну самом деле у ВК, к примеру, одна подсеть но очень большая.
                  У других думаю так же.

                  SquidGuardDoc EN  RU Tutorial
                  Localization ru_PFSense

                  1 Reply Last reply Reply Quote 0
                  • werter
                    werter last edited by

                    Не одна, не одна :

                    http://bgp.he.net/AS49988#_prefixes

                    http://bgp.he.net/AS47541#_prefixes

                    Плюс никто не запрещал анонимайзеры, прокси и всякие впн-ы  8)

                    1 Reply Last reply Reply Quote 0
                    • D
                      dvserg last edited by

                      @werter:

                      Не одна, не одна :

                      http://bgp.he.net/AS49988#_prefixes

                      http://bgp.he.net/AS47541#_prefixes

                      Плюс никто не запрещал анонимайзеры, прокси и всякие впн-ы  8)

                      Окаг я как-то на АДСЛ модеме блочил ВК - но только 87.240.128.0/18.  :o
                      Рытсяа в инете времени правда небыло

                      SquidGuardDoc EN  RU Tutorial
                      Localization ru_PFSense

                      1 Reply Last reply Reply Quote 0
                      • N
                        NegoroX last edited by

                        Окаг я как-то на АДСЛ модеме блочил ВК - но только 87.240.128.0/18.  :o
                        Рытсяа в инете времени правда небыло

                        а так пропустит?  ;) https://vk.com/

                        1 Reply Last reply Reply Quote 0
                        • werter
                          werter last edited by

                          а так пропустит?  ;) https://vk.com/

                          Если блокировать по IP\подсетям, то с какой радости пропустит?

                          1 Reply Last reply Reply Quote 0
                          • D
                            dvserg last edited by

                            @NegoroX:

                            Окаг я как-то на АДСЛ модеме блочил ВК - но только 87.240.128.0/18.  :o
                            Рытсяа в инете времени правда небыло

                            а так пропустит?  ;) https://vk.com/

                            Если блокировать по IP - без разницы на протоколы.
                            А списочек завтра дополню :D

                            SquidGuardDoc EN  RU Tutorial
                            Localization ru_PFSense

                            1 Reply Last reply Reply Quote 0
                            • N
                              NegoroX last edited by

                              @dvserg:

                              Если блокировать по IP - без разницы на протоколы.
                              А списочек завтра дополню :D

                              да уж дилемма  :)
                              1. блокировать все и разрешить только "нужное"
                              2. разрешить все и блокировать "не нужное"

                              1 Reply Last reply Reply Quote 0
                              • N
                                NetWiz last edited by

                                Отдельную тему не завожу, но вот известно что оптимально блокировать на L7 уровне (в FAQ есть ссылка). Сегодня попробывал: вместо того чтобы совсем блокировать и иметь проблемы с отображением страниц, ставлю лимитирование трафика. Применил к фильтрации HTTPS трафика, который как известно идет минуя Squid. Сайты открываются, но медленно. Никто особенно не возмущается (пока).

                                1 Reply Last reply Reply Quote 0
                                • D
                                  duh_s last edited by

                                  @werter:

                                  Не одна, не одна :

                                  http://bgp.he.net/AS49988#_prefixes

                                  http://bgp.he.net/AS47541#_prefixes

                                  Плюс никто не запрещал анонимайзеры, прокси и всякие впн-ы  8)

                                  спасибо )

                                  по скринам лишнее в floating?




                                  1 Reply Last reply Reply Quote 0
                                  • werter
                                    werter last edited by

                                    1. Во Флоатинг блокирующие правила? Убирайте их оттуда.
                                    2. Что есть алиас block_ ? Если это перечень адресов из LAN , то первое блокирующее правило на LAN неверно, если внешние ресурсы - второе не к месту. Разбирайтесь.

                                    1 Reply Last reply Reply Quote 0
                                    • D
                                      duh_s last edited by

                                      block_ - альяс из внешних подсетей однокласников и вконтакта

                                      1 Reply Last reply Reply Quote 0
                                      • werter
                                        werter last edited by

                                        1. Во Флоатинг блокирующие правила? Убирайте их оттуда.

                                        2. Если внешние ресурсы - второе не к месту

                                        Правила для запрета\разрешения доступа внешних адресов к LAN рисуется на WAN

                                        1 Reply Last reply Reply Quote 0
                                        • N
                                          NetWiz last edited by

                                          Еще не заметил, делал ли автор сброс соединений pf в меню Diagnostics: Reset state или страница /diag_resetstate.php

                                          1 Reply Last reply Reply Quote 0
                                          • D
                                            duh_s last edited by

                                            сброс делал, пока вроде блокирует по ip взятым с
                                            http://bgp.he.net/AS49988#_prefixes


                                            1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post