Layer7 и социальные сети



  • Настроил блокировку по этому http://small-town-nobody.blogspot.com/2012/05/pfsense.html мануалу.
    Паттерн выглядит следующим образом

    # Protocol name
    antisocial
    # Pattern
    ^.+(vk.com|vk.ru|vkontakte|odnoklassniki|odnoklasniki|facebook|ok.ru).*$
    

    С большего блокирует, но остается вопрос всяческих анонимайзеров. Через некоторые, все таки пролазит. :(
    Может у кого-то есть готовое решение? Как-то паттерн подправить или еще что?



  • Думаю, что не выйдет. Анонимайзеры криптуют урл (и трафик) при запросе. Как вариант - блокировать дипазоны адресов соц. сетей - http://bgp.he.net/dns/vk.com#_ipinfo

    Самое простое - разрешать только те ресурсы, к-ые необходимы. Правда, это только в том случае, если их немного.
    Ну или только в обед, допустим, разрешать доступ в Интернет.

    Еще можно отслеживать адреса анонимайзеров и блокировать их. Однако это работа неблагодарная.

    P.s. Есть вариант использовать что-то типа Яндекс.ДНС, но с возможностью блокирования по категориям ресурсов (в т.ч. соц. сетей и анонимайзеров).



  • Что-то я не понял. Как поможет от анонимайзеров поможет блокировка адресов вконтакта? А пускать в инет по белому списку не вариант - придется  только на этот список и работать. Да и организационно не реально.



  • @grommir:

    Что-то я не понял. Как поможет от анонимайзеров поможет блокировка адресов вконтакта? А пускать в инет по белому списку не вариант - придется  только на этот список и работать. Да и организационно не реально.

    Верно, не поможет. Это от прямого доступа.
    А как вы относитесь к тому, если пользователь дома поднимет OpenVPN или tinc и будет коннектиться к нему ? Вариантов обхода - оч. много.



  • @werter:

    Верно, не поможет. Это от прямого доступа.
    А как вы относитесь к тому, если пользователь дома поднимет OpenVPN или tinc и будет коннектиться к нему ? Вариантов обхода - оч. много.

    Плохо отношусь. И буду пытаться блокировать (тем же layer7 скорее всего). Но это потом, а пока хочу прикрыть более очевидные для простого юзверя пути обхода.



  • 1. Запретить использовать httpS. Открыть только необходимые ресурсы по https.
    2. Установить squid, lightsquid и мониторить периодически отчеты на предмет обращения к анонимайзерам. Блокировать доступ к анонимайзерам на основе этих отчетов. А лучше - отчет начальству об особо "умных" пользователях.

    Советую сразу занести известные анонимайзеры в списки блокировки. Это первые две-три страницы в гугле по запросу "анонимайзер"



  • @werter:

    1. Запретить использовать httpS. Открыть только необходимые ресурсы по https.
    2. Установить squid, lightsquid и мониторить периодически отчеты на предмет обращения к анонимайзерам. Блокировать доступ к анонимайзерам на основе этих отчетов. А лучше - отчет начальству об особо "умных" пользователях.

    Советую сразу занести известные анонимайзеры в списки блокировки. Это первые две-три страницы в гугле по запросу "анонимайзер"

    1. Закрывать https и опять разбираться с белыми списками? Не вариант.
    2. Уже установлен squid+squidguard+shallalist - от анонимайзеров помогает мало. Опять таки возвращаться к копанию в логах сквида и составлению черных\белых списков не хочется. Все как раз затевалось, чтобы уйти от этого.



  • Вам не угодишь. Дерзайте.

    P.s. Лично мне помог LightSquid и хождение к начальству со списками. Или ищите (и платите) за dns-сервис, имеющий в своем наборе возможность блокирования ананонимайзеров.



  • использую для этих целей squid3-dev + squidGuard-squid3, настроен прозрачный прокси и проксирование HTTPs с подменой сертификатов. В squidGuard использую блэклист http://www.shallalist.de/Downloads/shallalist.tar.gz. Для бана соцсетей и анонимайзеров в этом блэклисте есть фильтры !blk_BL_anonvpn, !blk_BL_redirector, !blk_BL_socialnet, работают прекрасно. Лист !blk_BL_redirector был проверен на первой десятке выдачи гула по словам "анонимайзер" и "разблокировать вконтакте", в !blk_BL_socialnet есть все популярные соц сети. Все что надо блочится.



  • Так же, рекомендую настроить прямыми руками WPAD.



  • Приветствую, проблемы с настройкой, по примеру сделал пат для соц сетей, когда добавляю в рулес, отваливается напрочь доступ в инет, думал может не так что сделал, решил попробовать на готовых шаблонах, так же отваливается доступ в инет, пробовал и лан и ван, что не так делаю?



  • Layer 7 не работает после версии 2.1.5. Отслеживаем решение вот здесь, по планам, перенесли на версию 2.3.х
    https://redmine.pfsense.org/issues/4276



  • печально..
    а теперь теория, отключаю 443 порт, закрываются все хттпс, можно ли каким путем открыть только для маил.ру хттпс?
    пусть почту хоть смотрят :)



  • Всем Привет! Как я понял основная задача блочить определенные https ресурсы без использования сертификатов и прокси…
    Некоторое время назад пользовался Endi***FW, дак там на форуме вычитал что для блокировки некоторых хостов https, использовался фокус с DNS релеем чтоли, т.е. при обращении на адрес https://vk.com - создавали свое внутренне перенаправление внутрь своей сети на какой нить ip и все... Сам не пробовал, но отзывы говорили  о том что фокус работает...



  • @Yuri4:

    печально..
    а теперь теория, отключаю 443 порт, закрываются все хттпс, можно ли каким путем открыть только для маил.ру хттпс?
    пусть почту хоть смотрят :)

    Да. Вписать адреса в исключения (Destination adresses) в настройках squid.

    AS-ы mail.ru - http://bgp.he.net/dns/mail.ru#_ipinfo



  • получилось, но не сразу, на сайт мейла пустил, сам ящик открылся при добавлении адресов е.майл.ру , потом грузился интерфейс плохо, добавил по логам блокировки еще пару айпи, теперь все хорошо, если так добавлять необходимые сайты, не очень путь



  • @Yuri4:

    получилось, но не сразу, на сайт мейла пустил, сам ящик открылся при добавлении адресов е.майл.ру , потом грузился интерфейс плохо, добавил по логам блокировки еще пару айпи, теперь все хорошо, если так добавлять необходимые сайты, не очень путь

    Ссылку в моем предыдущем посте смотрели ? Покажите скрины настроек squid.



  • @werter:

    @Yuri4:

    получилось, но не сразу, на сайт мейла пустил, сам ящик открылся при добавлении адресов е.майл.ру , потом грузился интерфейс плохо, добавил по логам блокировки еще пару айпи, теперь все хорошо, если так добавлять необходимые сайты, не очень путь

    Ссылку в моем предыдущем посте смотрели ? Покажите скрины настроек squid.

    с AS не знаю что делать, пошел по пути - днслукап создал алиас с диапозоном ип, как пример e.mail.ru скрин, делал такое же для маил, яндекс переводчика, уже удалил, после в рулесах 443 порт для этого алиса разрешил.
    куда Аснку можно вписать чтобы получить доступ?




  • с AS не знаю что делать

    куда Аснку можно вписать чтобы получить доступ?

    Вписать адреса в исключения (Destination adr.) в настройках squid :

    217.69.128.0/20
    94.100.176.0/20

    P.s. http://linkmeup.ru/tag/сети для самых маленьких/ . Сам пользую.



  • может кому пригодится, сделал днслукап вк, получил адреса, из них алиас, создаю правило на этот алиас - блок, https://vk.com/ открывается, логин и логаут не дает сделать.



  • @Yuri4:

    может кому пригодится, сделал днслукап вк, получил адреса, из них алиас, создаю правило на этот алиас - блок, https://vk.com/ открывается, логин и логаут не дает сделать.

    так то создавая алиас можно сразу забить туда vk.com и login.vk.com



  • @Scodezan:

    @Yuri4:

    может кому пригодится, сделал днслукап вк, получил адреса, из них алиас, создаю правило на этот алиас - блок, https://vk.com/ открывается, логин и логаут не дает сделать.

    так то создавая алиас можно сразу забить туда vk.com и login.vk.com

    просто вк одноклассники тд закрыть не проблема при помощи прокси фильтра, а вот закрыть защищенное соединение https другая задача, которая раньше решалась через л7, либо созданием сертификата.
    вообще пользователей обрубил подменой хост файла замкнутых на себя, тут уже для себя испытания.



  • Мне все интересно что и от кого Вы стремтесь закрыть. Недавно я закрывал социалки только по причине лимитного трафика. А сейчас у каждого айфон или виндовсфон с интернетом.



  • @Scodezan:

    Мне все интересно что и от кого Вы стремтесь закрыть. Недавно я закрывал социалки только по причине лимитного трафика. А сейчас у каждого айфон или виндовсфон с интернетом.

    хотелка руководства, трафик безлим, но 6 мегабит на 100+ чел… :P



  • А правилом в файрволе+алиасы закрыть https что мешает?
    Тот же контакт однокласники и прочее закрывается…



  • @Angel_19:

    А правилом в файрволе+алиасы закрыть https что мешает?
    Тот же контакт однокласники и прочее закрывается…

    готов попробовать пример, какие именно правила и алиасы?



  • Скрины приложены.
    Только нужно учесть, что правило начнет работать не сразу, т.к. pfSense с некоторой периодичностью производит резолвинг DNS в IP (преобразует vk.com -> ip адрес(а)).








  • @Yuri4:

    @Angel_19:

    А правилом в файрволе+алиасы закрыть https что мешает?
    Тот же контакт однокласники и прочее закрывается…

    готов попробовать пример, какие именно правила и алиасы?

    werter уже подсказывал, но повторим))
    у меня fw(тут не прикладываю) запрещает переход на резервный канал. Адреса 217.14.201.204-206 это зеркало youtube на площадке основного провайдера. Поскольку список "Network or FQDN" можно добавлять и dns имена, типа twitter.com

    ![2015-06-16 13-21-55 ???????? ??????.png](/public/imported_attachments/1/2015-06-16 13-21-55 ???????? ??????.png)
    ![2015-06-16 13-21-55 ???????? ??????.png_thumb](/public/imported_attachments/1/2015-06-16 13-21-55 ???????? ??????.png_thumb)



  • @Angel_19:

    Скрины приложены.
    Только нужно учесть, что правило начнет работать не сразу, т.к. pfSense с некоторой периодичностью производит резолвинг DNS в IP (преобразует vk.com -> ip адрес(а)).

    добил список, по сути у меня тоже самое только айпи сайтов, и блок стояло,ну и ACL в фильтре с списком социалок.
    возник вопрос по вашему списку, m.vk.com и m.ok.ru пускает? https facebook?



  • m.vk.com и m.ok.ru пускает?

    m.vk.com - блокировался,
    m.ok.ru - не блокировался, добавил себе

    Тут все зависит от того, используются одни и те же IP или разные…

    https facebook?

    • блокируются все порты, включая 443.


  • @Angel_19:

    m.vk.com и m.ok.ru пускает?

    m.vk.com - блокировался,
    m.ok.ru - не блокировался, добавил себе

    Тут все зависит от того, используются одни и те же IP или разные…

    https facebook?

    • блокируются все порты, включая 443.

    у меня 443 открыт, думал обойтись вбить те сайты что хочу запретить, а не вбивать те сайты что хочу разрешить по 443.
    список добил, подожду
    немного подождал, вк отсекается фильром, 443 вк отсекается правилом, на данный момент фейсбук и твиттер открываются, руру фейсбук отсекается фильтром
    жду дальше)






  • 2 Yuri4

    Зачем Вы исп. 32-х битную маску в адресах ?

    Список сетей, к-ые необходимо закрывать :

    ВК

    http://bgp.he.net/search?search[search]=vkontakte&commit=Search

    ОК

    http://bgp.he.net/search?search[search]=odnoklassniki&commit=Search

    Далее, что с анонимайзерами ?

    P.s. Поищите на форуме рецепт с закрытием социалок, анонимайзеров etc. путем исп. squid + фильтрации защищенного трафика + blacklists



  • 32 автоматом днслукап проставил, на данный момент вк и остальное блокируется хорошо, кроме фейсбук и твиттера…
    анонимайзеры и порно и оч многое закрыто блеклистом в фильтре, + в фильтре от меня дописаны сайты , блеклист www.shallalist.de


Log in to reply