итак, проблема с блокировкой соц сетей по https, т.к. WCF пропускает сайты по шифрованому http. воспользовался "классической" инструкцией "Как запретить доступ пользователям к определённым веб сайтам" сделал всё как написано. в результате перестали открываться все https и судя по логу простой http (80) тоже не должен работать, хотя "обычные" сайты открываются.

лог

тема обсуждалась не раз
блокировать по IP .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

т.е. инструкция не правильная, и описываемый в ней подход - не рабочий ?

инструкция для HTTP . HTTPS , только по IP

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

ну вы показываете сначала скрины с 2.ХХ
а потом с 10.ХХ , вы определитесь ?

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

это скрины из инструкции.
На титульном листе которой написано:
Межсетевые экраны: DFL-260E/860E/1660/2560

у меня DFL-260E !

на первых скринах у вас HTTP!!!
на втором прошивка 10-я , с ней я лично не знаком , но понимая как работает HTTPS отфильтровать его просто так не получится , поэтому ответ блокировка по IP/

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Поднимите виртуалку с бесплатной софтиной на базе CentOS - Endian Firewall, там есть Прокся, в которой достаточно удобно и по-русски все делается. Там можно блокировать и по IP и по DNS-именам доменов. И по HTTP и по HTTPS.
Разверните выход пользователей в Интернет через эту проксю, и запретите на DFL выход в Интернет из лан на исключением хоста с проксей и еще группы из нескольких хостов, которую определите сами.
Вот и все! Весьма красивое решение. Развернуть и все настроить можно с кофейком и перекурами - в течение дня.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Я думаю те кто писали эти инструкции понимали о чём писали.
на скринах моего роутера, порт назначения 80 и 443 . 443 порт - это порт HTTPS!!!
если вы внимательно прочитали мой изначальный вопрос, то я писал, что при включении правила, блочатся все https (хотя по логике инструкции блочиться должно только то что блэк листе). несмотря на это 80 порт работает, т.е. сайты открываются. (правда этот факт кажется противоречит логу)
принцип действия этого механизма как я понял - такой:
есть правило - НАТить трафик соответсвующий сервисам (портам) определённым в http_block - т.е. порты 80 и 443, там же указано применять ALG объект с одноименным названием, в котором ничего не определено кроме того что использовать blacklist.

и видится задача не фильтровать трафик, а запрещать его, если он соответствует определённым критериям (название по маске)

как говорится, "не стоить множить сущности без необходимости" (с)
я рассчитываю получить красивое и изящное решение обойдясь одним роутером, вообще то для того он и покупался, до этого там стоял IPCOP я так понимаю близки родственник этого Endian-a, которому на смену пришёл DFL. если красиво и изящно не получится то сделаю блокировку по IP, но как по мне то это - "костыль".
за идею - спасибо

ларчик просто открывался...в одной из инструкций нашёл такой комментарий (см. скрин)

получается что бы заработала эта функция надо прошиваться.

а я вам про что ?





но достоверных решений на 10 й прошивке о блокировке траффика HTTPS я пока не видел . Сделаете напишите - посмотрим

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

что значит "достоверных" решений не видели, а какие видели? она (эта функция), либо работает либо нет, я думаю так. хотя я тоже не понимаю как работает анализ трафика для https, но раз заявлено значит должно работать... и насчёт скриншотов от разных версий, вот например прошивка 2.60 в ней тоже завялено работоспособность фильтрации по https http://tsd.dlink.com.tw/temp/PMD/13248/ ... 0%2002.pdf

интересно было бы услышать обладателей этой прошивки.