Контентная фильтрация в Ubiquity EdgeRouter Pro | Ubiquiti форум UBNT: инструкции, настройка

Контентная фильтрация в Ubiquity EdgeRouter Pro

daBuz

новичок
12 Янв 2015
5
0
0
Доброго времени суток!
Являемся счастливыми обладателями маршрутизатора EdgeRouter Pro. Прошивка 1.6.0.
Подскажите кто знает, есть ли какая-либо возможность (инструкция, мануал, видео, скриншоты, рукописи, повести временных лет, хоть что-нибудь!??!?!) по настройке на данном устройстве контентной фильтрации? Как вариант, возможность прикрутить к данному устройству сервис типа Яндекс.DNS или Sky.DNS? Буду очень благодарен за ответы и комментарии (очень желательно с конкретными примерами). Спасибо!
 

arastegaev

Moderator
16 Янв 2013
4.160
124
123
42
Москва
яндекс.dns прикрутите ))) лично мне нравится.
клиентам поставьте dns-сервером еджроутер
 
Автор
daBuz

daBuz

новичок
12 Янв 2015
5
0
0
яндекс.dns прикрутите ))) лично мне нравится.
клиентам поставьте dns-сервером еджроутер
а каким образом? просто днсы указать яндекс.днса в настройках роутера? а если надо выборочно по пользователям? и пользователи настройки по dhcp получают...
 
Последнее редактирование:
Автор
daBuz

daBuz

новичок
12 Янв 2015
5
0
0
Частично сам отвечаю на свой вопрос:

ubnt@ubnt# show service webproxy
listen-address 172.16.3.52 {
}
url-filtering {
squidguard {
rule 1 {
local-block www.youtube.com
local-block www.facebook.com
source-group STUDENTS
}
rule 2 {
local-block match.com
local-block eharmony.com
source-group TEACHERS
}
source-group STUDENTS {
address 172.16.1.0/24
}
source-group TEACHERS {
address 172.16.10.1-172.16.10.20
}
}
}

Источник: http://community.ubnt.com/t5/EdgeMAX/Multiple-webproxy-squidguard/m-p/1145630/highlight/true#M52757

В итоге таки настроил, правда немного коряво...
Вот мой листинг:
url-filtering {
squidguard {
default-action allow
redirect-url http://www.google.com
rule 1 {
default-action allow
description deny
local-block vk.com
local-block facebook.com
local-block ok.ru
local-block fishki.net
local-block zaycev.net
local-block rutracker.org
local-block tfile.me
local-block porno.com
local-block odnoklassniki.ru
source-group deny_gr
}
source-group allow_gr {
address 192.168.1.150
address 192.168.1.158
description allow
}
source-group deny_gr {
address 192.168.1.3-192.168.1.149
address 192.168.1.151-192.168.1.157
address 192.168.1.159-192.168.1.254
description "all users"
}
}

Может кому пригодится... А может, кто чего ещё по советует....
 

arastegaev

Moderator
16 Янв 2013
4.160
124
123
42
Москва
в Едже не пробовал, в микротике делал: dhcp+Яндекс.dns+блокировка конкретных сайтов - для всех
для "избранных" статические адреса (так же в микротике настраиваются) из другой подсети где нет ограничений.
 
Автор
daBuz

daBuz

новичок
12 Янв 2015
5
0
0
Только сегодня дошло, что проблема решена только для http! Для https - проблема осталась! Кто знает - как можно решить проблему с блокировкой доступа предположим к тому же vk.com через https?
 

ubnt.su

Administrator
1 Июн 2012
1.635
54
60
Буковка s на конце протокола означает, что он зашифрован.
То есть, заголовки открыты, а тело пакета - нет.
Чтобы анализировать зашифрованное содержимое, его нужно предварительно расшифровать.

Таким образом, либо ставите в вашей сети сокс с поддержкой https. Он принимает клиентские подключения, расшифровывает, слушает/анализирует/банит/пропускает, а потом шифрует от своего имени канал дальше.

Либо прописываете в своем DNS vk.com 127.0.0.1

Либо запрещаете в сети https.

Либо ставите клиентам агентов, которые слушают/анализируют/банят/пропускают трафик.
 
Автор
daBuz

daBuz

новичок
12 Янв 2015
5
0
0
Буковка s на конце протокола означает, что он зашифрован.
То есть, заголовки открыты, а тело пакета - нет.
Чтобы анализировать зашифрованное содержимое, его нужно предварительно расшифровать.

Таким образом, либо ставите в вашей сети сокс с поддержкой https. Он принимает клиентские подключения, расшифровывает, слушает/анализирует/банит/пропускает, а потом шифрует от своего имени канал дальше.

Либо прописываете в своем DNS vk.com 127.0.0.1

Либо запрещаете в сети https.

Либо ставите клиентам агентов, которые слушают/анализируют/банят/пропускают трафик.
Правильно ли я понял, что либо надо отказаться от прозрачного прокси, либо решать задачу сторонними средствами?
P.S.
https совсем закрыть не получится, ибо банки некоторые нужные и полезные сервисы работать перестанут...
 

ubnt.su

Administrator
1 Июн 2012
1.635
54
60
Именно так. Задача не простая. Местами решение потребует денег.