Блокировка социальных сетей по https


  • Добрый день. Я новичок в администрирвании pfSense, прошу у вас совета. Мне надо заблокировать доступ к социальным сетям, но почему-то везде натыкаюсь на упоминания, что блокировать сайты с протоколом https либо невозможно, либо очень трудно, либо осуществляется через тридевятые грабли.
    Лазил по интернету и нашел вот такой метод (не реклама, а для дела) loclay.livejournal.com/35529.html

    Как на ваш взгляд, имеет право на жизнь такой метод? Или есть какие-либо серьезные изъяны?


  • Изъяны есть всегда. И при полной блокировке по IP и при подмене DNS записей.
    Знакомый в свое время сделал проще — он ограничил скорость до всех соц.сетей и видеохостингов, запихав их всех в одну трубу в 64к.
    Это позволило многим не пытаться искать анонимайзеры.  А попытки найти анонимайзер при полной блокировке это нормальное явление, у меня например список из доменов анонимайзеров уже на 7кбайт, а некоторые до сих пор не успокоятся.


  • Знакомый в свое время сделал проще — он ограничил скорость

    К сожалению, я ограничен в выборе. Приказ начальства вполне конкретный - заблокировать и всё.

    Изъяны есть всегда.

    Ну а конкретно данный метод (через Ferewall rules и aliases) какие имеет минусы?


  • @LehaMechanic:

    Ну а конкретно данный метод (через Ferewall rules и aliases) какие имеет минусы?

    Сам по себе он минусов не имеет. Но не спасает от использования анонимайзеров, для них вам все равно придется поставить squid или подобное. Самое действенное, но требует поддержки руководства, просто вычитать из зарплаты социальный трафик.

    Сам лично использую — прозрачный squid и собственные списки для осуществления DNS hijacking.

    Кстати списка из IPv4 уже маловато будет, необходимо добавлять и IPv6 сети на всякий случай.
    У меня список соц.сетей примерно такой, уже и не помню какие ip кому принадлежат, но собирал через ripe.

       5.61.16.0/21
       87.240.128.0/18
       93.186.224.0/21
       93.186.232.0/21
       95.142.192.0/20
       95.142.200.0/21
       95.213.0.0/18
       185.16.244.0/23
       185.16.246.0/24
       185.16.247.0/24
       185.32.248.0/22
       193.0.170.0/23
       217.20.144.0/20
       2a00:b4c0::/64
       2a00:b4c0::/48
       2a00:b4c0::/32
       2a00:b4c0:0:1::/64
       2a00:b4c0:0:2::/64
       2a00:b4c1::/64
       2a00:b4c1::/48
       2a00:b4c1::/32
       2a00:b4c2::/32
       2a00:b4c3::/64
       2a00:b4c3::/48
       2a00:b4c3::/32
       2a00:bdc0::/36
       2a00:bdc0:e002::/48
       2a00:bdc0:e003::/48
       2a00:bdc0:e004::/48
       2a00:bdc0:e005::/48
       2a00:bdc0:e006::/48
       2a00:bdc0:e007::/48
       2a00:bdc0:f000::/36
    
    

  • Ну а конкретно данный метод (через Ferewall rules и aliases) какие имеет минусы?

    в большинстве случаев нормально рулит.


  • Спасибо за ответ, пожалуй меня устраивает такой подход.

    Но не спасает от использования анонимайзеров, для них вам все равно придется поставить squid или подобное. Самое действенное, но требует поддержки руководства, просто вычитать из зарплаты социальный трафик.

    У меня нет задачи объявлять войну всему коллективу, мне за это премию не дадут. Сообразят использовать анонимайзер - ну и молодцы. У нас не так уж много машин, 10мбит канал они не смогут положить своими контактиками. Но и приказ руководства необходимо выполнять, или как минимум создать убедительную видимость.


  • @LehaMechanic:

    Спасибо за ответ, пожалуй меня устраивает такой подход.

    Но не спасает от использования анонимайзеров, для них вам все равно придется поставить squid или подобное. Самое действенное, но требует поддержки руководства, просто вычитать из зарплаты социальный трафик.

    У меня нет задачи объявлять войну всему коллективу, мне за это премию не дадут. Сообразят использовать анонимайзер - ну и молодцы. У нас не так уж много машин, 10мбит канал они не смогут положить своими контактиками. Но и приказ руководства необходимо выполнять, или как минимум создать убедительную видимость.

    Вы им еще подскажите, что есть турбо режимы от Yandex, Opera, Google.


  • @LehaMechanic:

    Добрый день. Я новичок в администрирвании pfSense, прошу у вас совета. Мне надо заблокировать доступ к социальным сетям, но почему-то везде натыкаюсь на упоминания, что блокировать сайты с протоколом https либо невозможно, либо очень трудно, либо осуществляется через тридевятые грабли.
    Лазил по интернету и нашел вот такой метод (не реклама, а для дела) loclay.livejournal.com/35529.html

    Как на ваш взгляд, имеет право на жизнь такой метод? Или есть какие-либо серьезные изъяны?

    На форуме есть ветка по блокировке рекламы с пом. dnsmasq.
    Поищите. Там только подменить на список соцсетей прийдется.


  • @PbIXTOP:

    Вы им еще подскажите, что есть турбо режимы от Yandex, Opera, Google.

    Кстати, турбо режим Оперы не помогает почему-то. Другие не проверял.