LINUX.ORG.RU
решено ФорумAdmin

Как запретить потоковое мультимедиа Squid`ом?

 , ,


0

3

Доброго времени суток уважаемому сообществу. Имеется небольшой офис, сеточка на 50 компов и прозрачный прокси на Debian + iptables + squid. Всё из ветки testing. Пришло время бороться с просмотром порнухи на рабочих местах. Пробовал создавать блэк-листы с километровыми списками - не помогает. Только шлюз тормозить стал. Порылся в инэте - куча различных мануалов. За полтора месяца проб - не нашлось ни одного рабочего. Просто перекрыть https - нельзя. Подскажите, кто знает, рабочий способ. Заранее благодарен

Пробовал создавать блэк-листы с километровыми списками - не помогает.

Создавай вайт-листы и блокируй все остальное. https без наркомании не перекроешь.

l0stparadise ★★★★★ ()

Рабочий способ: введи логирование и в конце месяца к начальнику с отчётом о том, кто и где сидит.

А дальше соответствующие административные меры от руководства на лиц занимающихся не тем на рабочем месте.

kostik87 ★★★★★ ()

ПО делающее скриншоты в случайные моменты времени + доска почета, где вывешиваются герои месяца и подробное описание их предпочтений

anonymous ()
Ответ на: комментарий от l0stparadise

Думал над этим. Показалось, что слишком уж радикально. Но если ничего не придумается другого - так и поступлю.

Nehtez ()
Ответ на: комментарий от Nehtez

Ну так в начале всё согласуешь с руководством, издаётся приказ, в котором прописано что нельзя смотреть потоковое видео или прочее и указано, что будут вестись логи. С приказом все сотрудники ознакамливаются под роспись.

Далее ты официально сдаёшь логи в конце месяца.

Всё.

kostik87 ★★★★★ ()
Последнее исправление: kostik87 (всего исправлений: 1)
Ответ на: комментарий от Nehtez

белый список на неограниченной скорости, а остальное на урезанной и пускай смотрят сколько угодно

anto215 ★★ ()
Ответ на: комментарий от Nehtez

ну это невыход, тем более найдут обходные маневры. А в чем причина борьбы?Если приказа от начальства нет, и если начальство смотрит сквозь пальцы - то пускай смотрят. Политики безопасноси только выкрутить на максимум, чтоб никакие приложения не запускались, кроме рабочих. А так закрывать можно долго, я с одной сотрудницей месяц боролся (у меня был приказ от начальству никаких соцсетей, все были ознакомленны в чем и расписались), она находит проксю, я ее блочу минут через 40, потом уволилась. Кстати сквид позволял блочить по расширениям, правда с потоковым видео наверно не прокатит, но у потокового видео наверняка есть характерный зоголовок и его можно порезать на iptables. Режет же youta торенты

Silerus ★★★ ()
Ответ на: комментарий от Nehtez

Да вы батенька моралист. При этом странный.
На почти любой технический метод будет найден метод обхода. Видел как народ даже свои 3g модемы на работу таскал. Без административных мер с реальными карами рублем это будет просто борьба с ветряными мельницами.

Deleted ()
Ответ на: комментарий от Silerus

начальство «спалило» одного смотрельщика, штрафануло, но когда тот, обидевшись на штраф, собрался увольняться, начальство смягчилось. Штраф отменили, а мне велели «сделать так» чтобы никто и ничего смотреть не мог. То есть перекрыть полностью потоковое мульти-медиа. Про обходные манёвры - конеш это будет, но потом. Мне сейчас надо настроить блокировку и свалить в отпуск. А можно поподробнее про «характерный заголовок»? Я-то думал https тупо шифруется и шлюз просто не видит что там внутри.

Nehtez ()
Ответ на: комментарий от Nehtez

подробно не скаджу предпологаю только, многие провайдеры шейперят всякие торренты и другие пиринговые сети, там ведь тоже ssl используется значит как то распознают. Попробуй wireshark что том в пакетиках бегает. Без приказа офицального чтоб все в нем расписались, такое делать нельзя, когда есть приказ - ты на него указываешь и говоришь, вот это начальство, а я выполняю свои обязанности. Второй вариант попытатся настроить шейпинг и ограничить скорость для трафика который будет сразу пытатся отожрать весь канал, скажем до 8кб - это явно не даст смотреть видео https://habrahabr.ru/post/119611/ https://habrahabr.ru/post/88624/

Silerus ★★★ ()
Ответ на: комментарий от anc

Ээээээ... сцыкотно сертификаты трогать... Я не так хорош в Линуксе.

Nehtez ()
Ответ на: комментарий от kostik87

не годится. у нас частенько архивы качают с обменников

Nehtez ()
Ответ на: комментарий от Nehtez

Там сегментированный поток, а не файлы.

anonymous ()

Нашёл. Установил и настроил DansGuardian + Webmin чтобы ручками правила не писать. Кому надо - могу дать линк на мануал. Всё работает как надо. Завтра посижу с тонкой настройкой ключевых фраз и кодировок. Всем спасибо за помощь.

Nehtez ()
Ответ на: комментарий от Deleted

На почти любой технический метод будет найден метод обхода. Видел как народ даже свои 3g модемы на работу таскал. Без административных мер с реальными карами рублем это будет просто борьба с ветряными мельницами.

Полностью согласен. Сам когда-то в кач-ве помощи в «борьбе с ограничениями» для коллег находил способы обхода доступа к вырвиглазникам. Административно было не запрещено, блокируют одну проксю, находим другую и так месяц за месяцем. И это в более жестких условиях чем у ТС - доступ в инет только через непрозрачного кальмара.
Но это было давно и не правда )

Видел как народ даже свои 3g модемы на работу таскал.

Так же, в той же конторе, позже(когда usb мопеды в массы пошли) наблюдал такое, и это еще более лютый «полярный лис», безопасность идет на... , сотни человек в инет выходят без прикрытой попы.
Ладно, со временем админы осилили запретить usb девайсы(далеко не везде), но... тут уже пришла пора массовых смартов/планшетов/да-и-ноутов-тоже. Вобщем опять всем пофиг.

Итого:

Без административных мер с реальными карами рублем это будет просто борьба с ветряными мельницами.

Просто повторюсь, я с вами полностью согласен, без варианта запрещено все что не разрешено «это будет просто борьба с ветряными мельницами»

anc ★★★★★ ()
Ответ на: комментарий от Nehtez

ок, можно без начальства. у тебя radmin/vnc/teamviewer есть? мониторь трафик, цепляй на самого прожорливого, и если он полез прон/дом2 смотреть - открывай блокнот и пиши что-нибудь доброе и хорошее. обычно хорошо напугать хватает

upcFrost ★★★★★ ()
Ответ на: комментарий от upcFrost

Идея ничего, но поправлю.
Зачем блокнот? Вроде была команда для рассылки сообщений (емнип net send). А можно по жестче shutdown, у него вроде была возможность указать комментарий почему ребутим, с тем же «доброе и хорошее» а-ля «ваш комп заражен вирусами из-за просмотра порнухи, пользуйтесь гандонами» и прописать в «крон»(крон образно, я хз что там у винды сейчас, но at наверное оставили) весьма весело может получиться.
ЗЫ А если хотя бы в зачаточной стадии программирования под вын силен, то можно и порно банер зафигачить. Да вообще много интересного можно сделать. Мы по молодости развлекались над друг другом на первое апреля (бывало и не только на первое апреля) всякими безобидными(кому-то и обидное было) самописными софтинками.

anc ★★★★★ ()
Последнее исправление: anc (всего исправлений: 1)
Ответ на: комментарий от upcFrost

ок, можно без начальства

Так можно и себя нехило подставить. Без приказа начальство и передумать может. Пожалуется кто, будут разборки. Без приказа я бы вообще не начинал ничего делать. А шугануть можно просто - опубликовать первую десятку и на стол начальнику. Пущяй сам со всеми разбирается.

А сервисы потокового видео можно вычислять по логам. Проблема в том, что их много. Запретить на оборудовании SOHO всё не получится, поэтому я бы предпочел административный путь. Иначе просто блочить всё по логу в squid. Смотреть каждый день статы и блочить жирное.

slapin ★★★★★ ()
Ответ на: комментарий от slapin

Без приказа начальство и передумать может. Пожалуется кто

На что? На то что их запалили когда они дом2 на работе смотрели?

upcFrost ★★★★★ ()
Ответ на: комментарий от anc

Блокнот довольно эффективен так как всегда есть и юзер может ответить в нем же. Очень забавно помню было читать такие извинения мол «я ж одним глазком». Типа «большой брат бдит», все дела. С net send куча косяков, он работает криво и далеко не всегда, и все фаеровлы его блочат по жизни. Да и прямой контроль нужен - у нас один чёрт с такой скоростью в юр.базе рылся в три окна что полтора мегабита внешки жрал

Но да, запузырить свой скринлок со скриптуемым текстом было бы забавно. И прямо перед локом скрин делать чтоб не отвертелись. Но вот за такое начальство правда может поколотить. А просто напугать это безобидно с точки зрения бизнеса

upcFrost ★★★★★ ()
Ответ на: комментарий от slapin

Потому только дать понять что админ все видит. Просто даже сынок не будет папке ябедить мол «Я на работе вконтакте, а меня запалили».

upcFrost ★★★★★ ()
Ответ на: комментарий от upcFrost

Но да, запузырить свой скринлок со скриптуемым текстом было бы забавно. И прямо перед локом скрин делать чтоб не отвертелись. Но вот за такое начальство правда может поколотить. А просто напугать это безобидно с точки зрения бизнеса

Вы и правы и нет, с точки зрения бизнеса не исключен вариант что вы и блокнотом прервете работу, все зависит от.....многих нюансов.
Но если подходить к вопросу как вы написали «напугать» то и ребуты/блокировка(на самом деле нет, достаточно формочки на весь экран) норм сработают, и вот тут палева меньше, хтож докажет что это сделал ты? С блокнотом палева больше :)

anc ★★★★★ ()
Ответ на: комментарий от upcFrost

Я просто сам через такое всё проходил когда был молодой и зелёный. Юзеры очень сильно бугуртят когда понимают что админ всё знает. И тут зависит всё от здравого смысла руководства, а он не всегда есть.

slapin ★★★★★ ()
Ответ на: комментарий от anc

Ну, тоже верно. Помню хохму когда ком.директор лок словил типа «за детское порно» и позвонил в панике. Вот тогда я на нем оторвался

Я бы так сказал - для младшего персонала блокнот збс (коллцентр так от вк отучали). Старшим да, надо беспалива.

Кстати, есть же и под венду удаленная консоль (забыл название), можно из нее пускать. Форму в полный экран сделать за полчаса можно. Через vnc/radmin в read-only пропалил и пустил с консоли

upcFrost ★★★★★ ()
Ответ на: комментарий от slapin

Юзеры очень сильно бугуртят когда понимают что админ всё знает.

Далеко не все и далеко не всегда. Так же реальный пример, дано: есть лимит на юзвера в месяц, в отсутствии нач. отдела его падаваны за день на проне усе исчерпали еще в начале месяца. Ну он просто сказал да и юх с ним с инетом.
Пример два (обратный): Сами юзверы (со скажем так далеко не высшего уровня) попросили ввести ограничения по всяким соц. сетям, т.е. инициатива снизу, т.к. туча долбодятлов нихрена не делала а зависала в соцсетях.
А вот «бугуртят» по моей практике те кто нифига не делает. Причем бугурт вида «вы же за нами следите», да нах мне и коллегам еще время на тебя тратить, своей работы хватает.

anc ★★★★★ ()
Ответ на: комментарий от upcFrost

Кстати, есть же и под венду удаленная консоль (забыл название), можно из нее пускать. Форму в полный экран сделать за полчаса можно. Через vnc/radmin в read-only пропалил и пустил с консоли

Я об этом же. Не помню название команды, но она есть :) А по части скриншотов - так же можно и без «vnc/radmin» обойтись, емнип это одна функция в выньапи. Было бы желание и время, а вариантов просто тьма. :) Помню спецом под первое апреля наваял софтинку которая дырки в формах делает и другу подсунул, но вот незадача получилась я позже на работу приезжал, а другу немного попортил сам рабочий момент :(

anc ★★★★★ ()

Доброго всем ещё раз. Тема конеш уже решена, но тут подвернулся интересный мануал, в котором весьма доходчиво рассказано как поднять прозрачный https прокси на сквиде. Хотелось бы послушать мнение опытных. Мануал тут

Nehtez ()
Ответ на: комментарий от Nehtez

Да, он работает. Но это не спасет вас от километровых списков. Из-за letsencrypt получить валидный сертификат сейчас - минутное дело, поэтому вполне возможен вариант, что вам все равно придется собирать статистику по доменам из сертификатов и каждую неделю обновлять блеклист.

l0stparadise ★★★★★ ()
Ответ на: комментарий от l0stparadise

Спасибо вам. У меня немного другой вопрос: если будет работать прозрачный https прокси, то, получается, DansGuardian будет так же прекрасно блочить всё непотребство, приходящее по https, как и то, что приходит по http?

Nehtez ()
Ответ на: комментарий от l0stparadise

И в догонку ещё один вопросец по мануалу - там указано, что:

Чтобы все нужные нам плюшки заработали, надо компилировать Squid с нужными опциями, поэтому внесем в debian/rules следующие опции компиляции:

--enable-ssl --enable-ssl-crtd --with-openssl

Мануалу уже порядочно времени - нужно ли сейчас, вносить эти опции компиляции, при условии что мой шлюз собран из ветки testing?

Nehtez ()
Ответ на: комментарий от Nehtez

Насчет DansGuardian ничего сказать не могу, не встречался с ним.

Опции сборки - да, скорее всего нужны, изначально оно вроде без ssl идет. Я не дебианщик, не помню, какой там дефолт. Но вообще в мануале сильно форсится конкретная версия сквида - не знаю, насколько это актуально, но я б задумался =)

l0stparadise ★★★★★ ()
Последнее исправление: l0stparadise (всего исправлений: 1)
Ответ на: комментарий от l0stparadise

Спасибо вам за помощь. Ушёл пробовать и тестить.

Nehtez ()
Ответ на: комментарий от Nehtez

Сквид4 вроде как в стадии релиз кандидата и в дебиане его нет даже в анстейбл. Но если починили - можете попробовать накатить RC.

l0stparadise ★★★★★ ()

У меня free-sa отчет каждые 30 мин сколько куда и в какое время узер качает смотрит По его данным режу скорости наиболее резвым . так как фри са дает просмотр на вебморду можно ненароком его дать на просмотр всем.:))

Bootmen ★☆☆ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.