Ответ:
Устройство DFL позволяет в IP политиках использовать в качестве адреса FQDN (доменное имя ) объект вместо обычных IP адресов. При помощи данной функции можно ограничить доступ к сайтам не используя http/https ALG или web policy.
Разница при использовании блокирования по FQDN в IP политике и другими методами, только в том, что пользователю не будет выводиться сообщение о том, что данный ресурс заблокирован.
В этом примере будет произведена блокировка сайтов vk.com и facebook.com.
ВНИМАНИЕ!! Убедитесь, что в настройках DFL System → DNS, установлен рабочий DNS сервер.
Создание FQDN объектов.
Пример для web интерфейса.
Пройдите в web интерфейсе Objects → Address Book, затем нажмите кнопку Add и из выпадающего меню выберите FQDN Address
Заполните поля следующим образом:
| Name: vk Address: vk.com |
 |
Затем нажмите Ок.
Создайте аналогично FQDN объект с параметрами:
Name: facebook
Address: facebook.com
Пример для CLI.
Выполните в CLI команды:
add Address FQDNAddress vk Address=vk.com
add Address FQDNAddress facebook Address=facebook.com
ВНИМАНИЕ!!! Следует помнить, что некоторые сайты могут иметь альтернативные доменные имена. В этом случае их так же надо блокировать. Так же сайты с www и без могут иметь разные IP (например если вы заблокируете только домен youtube.com, то www. youtube.com имеющий другой IP адрес будет открываться без ограничений ).
Объединим FQDN адреса в группу для упрощения настройки IP политики.
Пример для web интерфейса.
Пройдите в web интерфейсе Objects → Address Book, затем нажмите кнопку Add и из выпадающего меню выберите FQDN Group.
Укажите в поле «Name» значение «block» и добавьте объекты vk и facebook в меню selected.
Нажмите кнопку Ок.
Пример для CLI.
Выполните в CLI следующую команду:
add Address FQDNGroup block Members=vk,facebook
Создадим IP политику.
Пример для web интерфейса.
Пройдите в web интерфейсе Policies → Firewalling → Main IP Rules, затем нажмите кнопку Add и из выпадающего меню выберите IP Policy.
Заполните поля следующим образом:
Name: block
Deny Behavior: Reject
Source Interface: lan1
Source Network: lan1_net
Destination Interface: wan1
Destination Network: block
Service: all_services
Нажмите кнопку Ок.
Пример для CLI.
Выполните в CLI следующую команду:
add IPPolicy Name=block SourceInterface=lan1 SourceNetwork=InterfaceAddresses/lan1_net DestinationInterface=wan1 DestinationNetwork=block Service=all_services Action=Deny Reject=Yes
Теперь для того, чтоб это правило заработало, необходимо разместить это правило выше правила, которое разрешает доступ в интернет.
Пример для web интерфейса.
Кликните правой кнопкой мышки на созданную политику и выберите из открывшегося меню Move to Top.
Пример для CLI.
Выполните в CLI команду:
set IPPolicy 3(block) Index=1
Сохраните и активируйте настройки.