способы закрыть доступы на сайты



  • Добрый день,подскажите, кто как оптимально закрывает доступ на сайты в pfsense,проблема в том, что squidguard закрывает по ip,нужно закрыть доступ одним пользователям,а другим не блокировать,пользователь может вписать вручную ip адрес и обойдет это ограничение. Хотел сделать чтобы пользователям которые получают ip по dhcp не смогли менять ip(либо оставались без инета),отметив Enable Static ARP entries у меня вообще все без инета остались,поэтому экспериментировать опасно,сам шлюз в другой части здания находится и пользователей много,может есть возможность сразу контент блочить по МАКу? подскажите пожалуйста какие проверенные решения есть



  • @mrGreenward:

    Добрый день,подскажите, кто как оптимально закрывает доступ на сайты в pfsense

    Имхо
    Ограничится одним только squidguard, резервированием в дхцп вы не обойдетесь.
    Плюс к вами написанному понадобится - запрет установки п.о., оборудования, запрет Portable софта и административные рычаги.



  • как тогда возможно сделать чтобы пользователь при попытки прописать в сетевом подключении ручного ip,не смог подключиться к сети?



  • @mrGreenward:

    как тогда возможно сделать чтобы пользователь при попытки прописать в сетевом подключении ручного ip,не смог подключиться к сети?

    Поищите по нашей ветке. Вопрос несколько раз обсуждался.



  • @mrGreenward:

    как тогда возможно сделать чтобы пользователь при попытки прописать в сетевом подключении ручного ip,не смог подключиться к сети?

    http://www.thin.kiev.ua/router-os/50-pfsense/548-pfsense-router.html



  • @dr.gopher:

    @mrGreenward:

    как тогда возможно сделать чтобы пользователь при попытки прописать в сетевом подключении ручного ip,не смог подключиться к сети?

    http://www.thin.kiev.ua/router-os/50-pfsense/548-pfsense-router.html

    Спасибо за статью,но тут еще проблема в том что есть пользователи которые подключаются к сети по wi-fi и смысл нет их резервировать(



  • @mrGreenward:

    @dr.gopher:

    @mrGreenward:

    как тогда возможно сделать чтобы пользователь при попытки прописать в сетевом подключении ручного ip,не смог подключиться к сети?

    http://www.thin.kiev.ua/router-os/50-pfsense/548-pfsense-router.html

    Спасибо за статью,но тут еще проблема в том что есть пользователи которые подключаются к сети по wi-fi и смысл нет их резервировать(

    Есть повод вынести WiFi на отдельный интерфейс (в отдельную подсеть).
    Правда придётся решить вопрос с общением между подсетями (если оно Вам нужно)
    За-то никакой самоволки в локальной проводной сети.



  • @dvserg:

    @mrGreenward:

    @dr.gopher:

    @mrGreenward:

    как тогда возможно сделать чтобы пользователь при попытки прописать в сетевом подключении ручного ip,не смог подключиться к сети?

    http://www.thin.kiev.ua/router-os/50-pfsense/548-pfsense-router.html

    Спасибо за статью,но тут еще проблема в том что есть пользователи которые подключаются к сети по wi-fi и смысл нет их резервировать(

    Есть повод вынести WiFi на отдельный интерфейс (в отдельную подсеть).
    Правда придётся решить вопрос с общением между подсетями (если оно Вам нужно)
    За-то никакой самоволки в локальной проводной сети.

    Согласен,это самый чоткий вариант,дело в том что помимо нашей конторы в нашей локалке еще несколько отделов от других компаний,и все под одним внешним ip за натом,я бы всем с самого начало отдельно сделал,но увы щас нет разрешения на выделения отдельного ip другим отделам



  • @mrGreenward:

    Согласен,это самый чоткий вариант,дело в том что помимо нашей конторы в нашей локалке еще несколько отделов от других компаний,и все под одним внешним ip за натом,я бы всем с самого начало отдельно сделал,но увы щас нет разрешения на выделения отдельного ip другим отделам

    Отделите свою контору от остальных в отдельную подсеть.
    Все можно сделать на одном интерфейсе.



  • Лично я для таких целей использую подмену DNS и  прозрачный squid.
    Все неблагонадежное отправляется на локальный вебсервер(чтоб ожидания на страницах не болтались).
    Специально сделано правило запрещающее использовать другие DNS серверы.



  • @PbIXTOP:

    Лично я для таких целей использую подмену DNS и  прозрачный squid.
    Все неблагонадежное отправляется на локальный вебсервер(чтоб ожидания на страницах не болтались).
    Специально сделано правило запрещающее использовать другие DNS серверы.

    Разумно,расскажите поподробней если вас не затруднит,было бы полезно знать любителям pfsense :)



  • Разумно,расскажите поподробней если вас не затруднит,было бы полезно знать любителям pfsense :)

    1. Не разрешать доступ во вне по порту 53 TCP\UDP
    2. Разрешить доступ с LAN subnet на LAN address 53 TCP\UDP.


Log in to reply