URL-фильтр



  • Народ, а URL-фильтр тут можно реализовать только с установкой Squid'а в режиме прозрачного прокси с тем же Dansguardian или Squidguard?
    Или есть другие варианты без сквида?

    Почему я это спрашиваю: к примеру у тех тренднетовских роутеров, если ты вбиваешь какой-то URL в фильтр, то до него даже пинги не ходят, не говоря уж о том, чтобы туда открывались хоть какие-то порты… Можно тут такой же тип фильтра поднять, или это сложно?

    Просто, что мне не нравится, фильтр заворачивает на прозрачный прокси только 80-й и 443-й порты. Любой нестандартный проходит без малейших проблем.



  • @sherr_khann:

    Народ, а URL-фильтр тут можно реализовать только с установкой Squid'а в режиме прозрачного прокси с тем же Dansguardian или Squidguard?
    Или есть другие варианты без сквида?

    Без сквида только по IP.
    https://forum.pfsense.org/index.php?topic=44757.msg232938#msg232938



  • Блин, абыдна :-).
    В дешёвой перделке это реализовано получше.
    Чтож, будем заворачивать всё в сквид. Один фиг лучше чем полное отсутствие такового фильтра.



  • @sherr_khann:

    Блин, абыдна :-).
    В дешёвой перделке это реализовано получше.
    Чтож, будем заворачивать всё в сквид. Один фиг лучше чем полное отсутствие такового фильтра.

    А что Вы подразумеваете под URL?



  • То и подразумеваю, что при вводе в список определённых URL и масок URL, велась бы блокировка всего, что есть на этих URL, попадающих под маски. Начиная от HTTP и кончая пингом.



  • @sherr_khann:

    То и подразумеваю, что при вводе в список определённых URL и масок URL, велась бы блокировка всего, что есть на этих URL, попадающих под маски. Начиная от HTTP и кончая пингом.

    Здесь намешано много понятий, совершенно не связанных друг с другом.
    Аббревиатура URL означает строку запроса протокола HTTP(s). Заблокировать URL можно только средствами прокси-сервера/фильтра.

    Пинги работают на уровне IP адресов, управляются правилами файрвола, и c протоколом HTTP(s) никак не связаны.

    Возможен вариант определения IP адреса по домену, но на одном IP адресе может сидеть много разных доменов.
    И по-моему списки доменов можно в Alias задавать.



  • Ну, я-то всё это понимаю… Просто надеялся, что есть что-то подобное тренднетовскому и в pfsense.
    Раз нет, будем выворачиваться доступными методами.



  • Не совсем то, что вы хотите, но все же:
    http://small-town-nobody.blogspot.com/2012/05/pfsense.html

    Примеры паттернов:
    http://l7-filter.sourceforge.net/protocols



  • Вы знаете, это как раз почти то, что я хотел.
    Буду пробовать. Тем более, что это почти элементарно.



  • Кстати, опробовал метод DansGuardiаn+Squid3. Сначала его эвристический анализатор заблокировал почти весь инет, как порнографию. После отключения эвристики и оставления только списка блокировки, оно заработало, но начало затыкаться при большом кол-ве запросов. В общем, пока оно всё погашено. Даёт слишком неприемлемые тормоза. Буду эту парочку вырубать.
    Попробую ещё SquigGuard+Squid, но если оно будет так же, то нах-нах.