Всем привет.
Такая ситуация:
Есть DFL-860E, прошивка 10.22.01.04-26408
Пытаюсь все же победить железку и сделать доступ к сайтам только из группы белых списков.
Если с не шифрованным трафиком проблем нет, то https ни как не хочет фильтроваться. Или доступно все, или все блокируется.
Может конечно сам что не так делаю до конца.

Подумал, может удастся тогда немного обойти момент фильтрации https используя айпи.
Но тоже не получается.
Создал объект вида айпи адрес4
yandex_ru, с содержимым dns:mail.yandex.ru

Далее два правила.
Первое на разрешение указанного ресурса

Второе на запрещение всего


В итоге доступа нет ни к одному сайту, включая и разрешенный.

Предполагаю, что не хватает еще разрешенных доменов яндекса.
Буду пробовать дополнять список.

Нет ли универсального средства, что бы добавить все домены яндекса в группу и дать доступ к ним?
Пробовал зосдать объект вида
all_yandex со значением dns:*.yandex.*/*
Но замена в разрешающем правиле на этот оюъект ни чего не дает.
Блокируется все.

Какие еще могут быть решения доступа по белым спискам?
Спасибо.

https - ни как ....
я например решение не встречал
ну или четко по IP разрешать . но может быть IP МНОГО

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Вот я пытался по айпи все адреса давать так.
Через dns:шаблон
Но не срабатывает почему то.
Может как то не так делаю?
И еще, присвоенные такие объектам адреса потом нельзя объединять в группу.

Именно по IP , ни о каких именах речи быть не может , тк трафик уже шифрованный идет через DFL. и "поторошить" пакет DFL не может.
Было упоминание что типа якобы такое есть . но решений я за свою историю не видел , именно решений на DFL.

тут решение . какой то прокси ...

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

То есть запись вида dns:yandex.ru в правилах в сети назначения не даст железке определить айпи?

Ставить дополнительно сквид не хочется. Но может оказаться единственным вариантом(

яндекс может отрезольвится на кучу других IP
сквид !

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Вот поэтому я и хотел сделать группу по "регулярному выражению"
Где то читал, что железка может преобразовать сама доменное имя в айпи адрес, если писать перед в объектах слово "dns:"
А вспомнил где читал про это.
Настройка Л2ТП у билайна. Так как нужно было задать адрес сервера, а Билайн давал адрес вида tp.internet.beeline.ru.
Железка его съесть не могла и поэтому писали dns: tp.internet.beeline.ru

да она может резольвить , но только в качестве RemoteENDPoint , в создании туннелей , но ни как в правилах доступа.

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Вот где собака порылась) Я думал сможет не только там...

После некоторых опытов вроде заставил работать железку с шифрованным трафиком и пропускать только белые списки.
Во всяком случае яндекс почта работает пока без сбоев, все остальное не доступно.
Завтра продолжу тесты.

потом расскажите ?

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Делал по инструкции отсюда http://www.dlink.ua/sites/default/files ... omains.pdf
Изменив под себя списки доступа.
Основное отличие только в одном месте.
При создании службы в окне выбора протокола в инструкции не выбирают ни чего.
Так у меня не заработало ни чего.
Попробовал выбрать HTTPS and HTTP
Вроде пока работает. Но тщательно еще не тестировал.
HTTP не пускает не из белого списка.
Яндекс почта работает без сбоев.
Другие ресурсы по HTTPS вроде как не доступны.
Правда mail.ru открывается главная страница и все. Далее при любом выборе вылетает на ошибку сертификата.
Но если даже так будет фильтрация работать, то меня это устроит.

Ну чтож, после тестирования могу сказать, данный способ нормально фильтрует HTTPS трафик.
За час работы было много плача и истерик))

Единственное дополнение, у меня в созданном сервисе еще включен запрет на загрузку исполняемых файлов.

Появилась одна проблема)
Скайп, который программой теперь теперь не может производить/принимать звонки)
Хотя в сеть заходит нормально и список контактов видит.
Ни кто не знает, какие домены он юзает?

он может юзать не только домены . а еще Peer-to-Peer. таких же пользователей

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

И как с этим быть я еще не понял)
Хотя на компьютерах, которые выпуская без правил фильтрации трафика звонит без проблем.