-
Merhaba
Uzun zamandir iptables,Squid,Sarg ve bazende squid-guard kullandigim oluyordu. Pfsense add-ons ve bilmeyen birininde gonul rahatligiyla kullanabileceginiz gorunce ona donmeye karar verdim. Kurdum guzelde calisiyor. Ancak facebook ve twitter AS numarasina gore engelledigimde engelledim. (Https) Fakat makinayi restart ettigimde kullanicilarin yinede girebildigini gordum. Sizlerinde bildigi gibi facebook AS 32934 dur. Tabiki çıkardıgım listenin tamamini engellemedim. LAN içinde "dig" ciktilarina gore belli baslilarinida asagidan alarak engeledim.
$ whois -h whois.radb.net – '-i origin AS32934' | awk '/^route:/ {print $2;}' | sort | uniq^C
103.4.96.0/22
173.252.64.0/18
173.252.64.0/19
173.252.70.0/24
173.252.96.0/19
204.15.20.0/22
31.13.24.0/21
31.13.64.0/18
31.13.64.0/19
31.13.64.0/24
31.13.65.0/24
31.13.66.0/24
31.13.67.0/24
31.13.68.0/24
31.13.69.0/24
31.13.70.0/24
31.13.71.0/24
31.13.72.0/24
31.13.73.0/24
31.13.74.0/24
31.13.75.0/24
31.13.76.0/24
31.13.77.0/24
31.13.78.0/24
31.13.79.0/24
31.13.80.0/24
31.13.81.0/24
31.13.82.0/24
31.13.83.0/24
31.13.84.0/24
31.13.85.0/24
31.13.86.0/24
31.13.87.0/24
31.13.88.0/24
31.13.89.0/24
31.13.90.0/24
31.13.91.0/24
31.13.92.0/24
31.13.93.0/24
31.13.94.0/24
31.13.95.0/24
31.13.96.0/19
66.220.144.0/20
66.220.144.0/21
66.220.152.0/21
66.220.159.0/24
69.171.224.0/19
69.171.224.0/20
69.171.239.0/24
69.171.240.0/20
69.171.253.0/24
69.171.255.0/24
69.63.176.0/20
69.63.176.0/21
69.63.176.0/24
69.63.178.0/24
69.63.184.0/21
69.63.186.0/24
74.119.76.0/22İşin ozu bu neden arada bir boyle yapiyor anlamadim. Kullandigim paketler gayet duzgun calisiyor. URL bank süper calisiyor.
Sistemde kullandigim paketlerim;
- Squid3
- Squid3-Guard
- Lightsquid
Kullandigim pfsense release: 2.1.3 i386
Squid3-guard her degisilik sonrasi "apply" demeden degisilkler almiyor. Pf filter 'da sanirim "filter reload" demeden almiyor.
Sorun ne olabilir ? Restart edince problem oluyor.
-
Bunu squid ile değilde firewall tarafında çözmeniz daha iyi olacaktır. Ayrıca Facebook ve Twitter gibi büyük firmaların birden fazla AS numarası var, dolayısı ile ip blokları eksik olacaktır.
Facebook IP Blokları:
69.171.224.0/19 74.119.76.0/22 204.15.20.0/22 66.220.144.0/20 69.63.176.0/20 173.252.64.0/18 31.13.64.0/18 103.4.96.0/22 65.204.104.128/28 66.93.78.176/29 66.92.180.48/28 67.200.105.48/30 66.199.37.136/29
Twitter IP Blokları:
208.65.104.64/28 208.65.104.24/30 66.165.181.208/28 198.24.32.64/28 198.24.32.12/30 8.25.194.0/23 8.25.196.0/23 199.96.56.0/21 199.59.148.0/22 199.16.156.0/22
-
Merhaba
Cevap için teşekkürler. Ancak o anda cozulen ip adreslerinin zaten listede oldugu halde engellememe durumu soz konusu. Bir degiliklik (diger servislerde…) yada reboot sonrasi filter rule hic biri calismiyor. Sürüm ,paket vs. ilgili olabilir mi ?
Sahsen ozgur yazilimlari seven biri olarak arkadasima kurmus oldugum "pfsense" sebebiyle mahcup olup yerine Debian,iptables,squdi3,squid3-guard,sarg,snort geri donme zorunda kalmak istemiyorum. Bunlari arkadasimin yonetmesi suan için mumkun degil. O sebeble hazır gelen ve diger firewall dagitimlarindan kat kart üstün gordugum pfsense boyle basit hatalari olmasi beni bastan bir korkuttu. Siz boyle sorunlar yasamiyormusunuz ?
-
2.0.3 te, sanırım benzer bir durumla nadir de olsa karşılaşıyorum.
ip/domain olan bir alias a göre nat yapıyorum, nat bazen çalışmıyor ve "filter reload" yada "alias/edit/apply" ile düzeliyor.
sebebi konusunda bir çalışma yapamadım, fakat böyle bir durum firewall kısmında olursa ciddi bir sıkıntıya yol açabilir.
-
Bugun sırf lokasyondaki sistem'den facebook icmp gonderdim ve gecti. Malesef pfsense hakkında umutlarım tukeniyor. Cok kotu bir durum. Php bilsem kendim yazicam Linux üzerinde.
Yani en basit filtreleme işinde bile boyle sapıtmasi beklenen bir sey olamaz.Az once virtualbox üzreinde 'de denedim. Squid vs. kurmadan denedim ve malesef sonuc ayni. Firewall > Rules > Alias içine facebook o anda cozdugum ip adresinin tüm subnet ekliyorum. Daha sonra Firewall > Rules > LAN >
Source: LAN NET > Destination: facebook (alias girdigim…) > Block yapiyorum. Bunda ne yanlis olabilir.Facebook suanki DSL network cevap verdigi ip "173.252.110.27" gozukuyor. Sadece buna da blok koydum ama gene ayni engellemiyor. :)
Kullandigim versiyon;
2.1.3-RELEASE (i386)
built on Thu May 01 15:52:17 EDT 2014=============
Problemi her bir kurali bastan istedigim gibi siralama yaparak cozdum gibi.İlgisi olan herkese tesekkürler.