LINUX.ORG.RU
ФорумAdmin

Борьба с социальными сетями


0

0

Привет!

Есть небольшая тачила, которая иногда используется как рутер. Задача: необходимо железобетонным образом забанить доступ юзерам к разнообразным социальным сетям. К соц. сетям, которые необходимо банить в первую очередь относятся «Вконтакте» и «Одноклассники». Как это проще всего сделать, не прибегая к установке того же сквида? То есть банить доступ к злым ресурсам только с использованием например чистого айпитейблеза. Использование прокси категорически неприемлемо.

Например, раньше поступал примерно таким образом: добавлял прявило вида iptables -A OUTPUT -d vkontakte.ru -j DROP (дропаются все пакеты которые исходят от тачилы и направлены на хост вконтакте). Но это работало как то сранно. Вроде бы сам Вконтакт и не открывался, но в то же время в закладках юзера видел линки, перейдя по которым Вконтакт открывался!

Может есть какие то специализированные решения? Так же интересует что-то типа уже готового блеклиста с топ. посещаемыми соц сетями. чтобы поменьше вбивать это самому.

Ответ на: комментарий от CyberTribe

+1 к прозрачному прокси.
с айпитаблес все слложнее. Надо весь диапазон банить. А там ферма серверов с разными ip. Прокси проще.Но и он не спасает от тысяч анонимайзеров.
Запрещать надо аддминистративными методами с наложением реальных штрафов с зарплаты. Все остальное действует не на 100%.

gserg ★★ ()
Ответ на: комментарий от gserg

С анонимайзерами проще - можно банить порты на которых они работают. Всё равно большинство будет работать на стандартных.
Ну и потом, можно вообще определить - какие протоколы используются - остальные прибить.

CyberTribe ★★ ()
Ответ на: комментарий от gserg

Вот список более-менее посещаемых социалок:

# cat deny.group 
.odnoklasniki.ru
.sosedi-online.ru 
.fakultet.ru 
.wow.ya.ru 
.otdihali.ru 
.planeta.rambler.ru 
.limpa.ru 
.yatalent.com 
.shefa-net.ru 
.tutvsesvoi.ru 
.vsedruzya.ru 
.npj.ru 
.moskva.com 
.posekretu.info 
.vnezapno.ru 
.webkrug.ru 
.vspomni.ru 
.seeeto.com 
.mooteam.ru 
.mindmix.ru 
.megaperson.ru 
.dropp.ru 
.100druzei.com 
.100druzei.ru
.mirtesen.ru 
.odnoklassniki.km.ru 
.privet.ru 
.moikrug.ru 
.my.mail.ru 
.vkontakte.ru 
.odnoklassniki.ru 
.fsbook.ru 
.gut.ru 
.drugme.ru 
.inhobby.ru 
.vkrugudruzei.ru

В конфиг сквида включай как dstdomain:

# cat squid.conf | grep deny.group
acl denygroup dstdomain "/etc/squid/deny.group"
http_access deny my_net denygroup
http_access allow my_net

примерно так

gserg ★★ ()

[indus-mode] iptables -p tcp -m string --string «vkontakte.ru» --algo bm ....BLABLABLA.... -j DROP [/indus-mode]

drull ★☆☆☆ ()

про анонимайзеры не забудь

subj.
плюс если банить по домену, то хитрые юзеры могут заходить на сайт по ip

opensuse ()
Ответ на: про анонимайзеры не забудь от opensuse

не так там много серверов и айпишек, чтобы просто их все не забанить. по крону резолвить, получая списки:
vkontakte.ru has address 93.186.227.124
vkontakte.ru has address 93.186.227.125
vkontakte.ru has address 93.186.227.126
vkontakte.ru has address 93.186.227.129
vkontakte.ru has address 93.186.227.130
vkontakte.ru has address 93.186.228.129
vkontakte.ru has address 93.186.228.130
vkontakte.ru has address 93.186.229.2
vkontakte.ru has address 93.186.229.3
vkontakte.ru has address 93.186.229.129
vkontakte.ru has address 93.186.229.130
vkontakte.ru has address 93.186.231.218
vkontakte.ru has address 93.186.231.219
vkontakte.ru has address 93.186.231.220
vkontakte.ru has address 93.186.231.221
vkontakte.ru has address 93.186.231.222
vkontakte.ru has address 93.186.225.211
vkontakte.ru has address 93.186.225.212
vkontakte.ru has address 93.186.226.4
vkontakte.ru has address 93.186.226.5
vkontakte.ru has address 93.186.226.129
vkontakte.ru has address 93.186.226.130

и формировать правила фаервола. это будет самый железобетонный метод. анонимайзеры тоже запретить на фаерволе.

Komintern ★★★★★ ()
Ответ на: комментарий от anonymous

ну можно рубануть с плеча, но идея с правилами фаервола по крону мне нравится куда больше. раз в час запускать простой скрипт, который резолвит, парсит ответ и загоняет в фаервол. и дело в шляпе. разнообразить можно на свой вкус :)

Komintern ★★★★★ ()
Ответ на: комментарий от Komintern

и еще насчет юзеров: если юзер насколько умен, что осилит заход по айпи, анонимайзеры и т.д - он врядли найдет для себя че-то полезное в контакте.

Komintern ★★★★★ ()
Ответ на: комментарий от Komintern

найдет

на каждом втором сайте про «взлом вконтакте» есть инструкция по заходу на сайт по ip, осилит даже блон^Wдитё малое.

opensuse ()
Ответ на: комментарий от opensuse

у меня его нету. я не админю офис, но это была всего лишь идея :)

#!/bin/sh

iplist=`host -t A vkontakte.ru | awk '{ print $4 }'`

for ip in $iplist; do
  iptables -A FORWARD -p tcp -d $ip -j DROP
done

за ошибки извиняйте ) поправьте что не так.

Komintern ★★★★★ ()
Ответ на: найдет от opensuse

ну короче в таком случае остается либо рубать с плеча и банить подсеть, либо делать как я сказал :) если не хочешь прокси.

Komintern ★★★★★ ()
Ответ на: комментарий от vkos

рассказывал знакомый, что он просто настроил в локальном днс айпи социалок на страничку внутреннего веб-сервера, где во всех подробностях описал прелести анальной кары, которой будут подвергаться вконтакто-хомячки на ковре начальства. и что каждый вход на эти социалки идет в лог, который начальство регулярно изучает. говорил что сработало.

Komintern ★★★★★ ()
Ответ на: комментарий от opensuse

обязательно добавь если будешь использовать:
1. обработку ошибок (днс-ных к примеру)
2. очистку правил фаервола перед новым генерированием
3. желательно вынести блокируемые домены в отдельный конфиг и делать его cat в еще один список, уже во внутреннем цикле делая резолвинг и генерацию правил.

Komintern ★★★★★ ()
Ответ на: комментарий от Komintern

да я еще не знаю, буду ли использовать. у меня куратор вконтакте сидит, и если я вконтакт заблочу, он огорчится :)
но надо как-то трафик экономить, а то кафедра постоянно за лимит выходит

opensuse ()
Ответ на: комментарий от opensuse

Кэширующий прокси. Агрессивное кэширование. Централизованное блокирование рекламы. При желании гибкие ограничения пользователей.

Squid.

sin_a ★★★★★ ()

Людям надо отдыхать, отвлекаться. Чтоб работалось хорошо, работа должна быть интересная.

ip1981 ☆☆ ()
Ответ на: комментарий от ip1981

вконтакт - это иллюзия отдыха. вот полежать и послушать музычку да. а вконтакт - это просто циничный и подлый убийца времени.

Komintern ★★★★★ ()
Ответ на: комментарий от opensuse

0 полагаю он прозрачный и обойти его пользователи не могут

1 http://linuxnews.ru/docs/squid.html

2 http://www.ylsoftware.com/news/403

3 squidguard , найти большой блеклист, например взять указанный здесь: http://www.sys-adm.org.ua/www/squidGuard.php

4 пишем здесь на сколько процентов снизилось потребление трафика

sin_a ★★★★★ ()

ну а как быть с проксями/анонимайзерами? покупайте ironport или оставьте эту затею.

anonymous ()
Ответ на: комментарий от Komintern

видал я таких нубасов, у нас в сети такое тоже есть. решается использование левых NS.

зы адмын - ламер

anonymous ()
Ответ на: комментарий от anonymous

а если исходящие днс-запросы на все кроме разрешенного сервера зафильтровать? то решается базой адресов в /etc/hosts? :D
а если вы такой умный - то нахрена вам в конторе админ?

Komintern ★★★★★ ()
Ответ на: комментарий от drull

с одним только отличием, что на ЛОРе есть технические разделы где люди друг другу помогают решать конкретные технические вопросы, а вконтакт - это толксы, только с гораздо более тупым и ограниченым контингентом.

Komintern ★★★★★ ()
Ответ на: комментарий от Komintern

> что на ЛОРе есть технические разделы где люди друг другу помогают решать конкретные технические вопросы

На вконтакте тоже есть группы где люди помогают друг другу в решении тех. вопросов.

drull ★☆☆☆ ()
Ответ на: комментарий от drull

и ты еще скажи что умных людей там больше чем на ЛОРе.

Komintern ★★★★★ ()
Ответ на: комментарий от gserg

> Вот список более-менее посещаемых социалок:

Я бы на месте хомячков пошёл на vk.com

melkor217 ★★★★★ ()
Ответ на: комментарий от psv1967

>есть блэклист на анонимайзеры и прокси

а тот, что вчера запустилт, он тоже есть в блек-листе?

поймите, есть суровая разница меджу профессиональными базами (cisco, websense, fortinet, etc) и самоклепными

anonymous ()

Если проблема в трафике, то скорее всего вред от соц.сетей из-за видео и аудио. Быть может стоит запретить .flv и .mp3, при этом оставив возможность заходить на сами сайты? Просто, например, вконтактике ещё много чего полезного может быть.

anon000 ()
Ответ на: комментарий от Nao

А почему никто не обсуждает идею динамических блокировок?

Мне кажется это довольно интересно, я не знаю есть ли такое или нет, но у меня в голове это что-то нечто так:

есть squid, из него строятся отчёты, далее с дневных/недельных отчётов вытягивается top 10 сайтов, этот top приходит Администратору на почту, если администратор не даёт удобных команд весь топ заносится в бан лист. Если администратор даёт команду вида: -none test.ru этот сайт заносится в вайтлист и игнорируется.

Любые прокси, шмокси аномайзеры, содержат много рекламмы, а значит и много траффика. - Всё это будет вычисляться довольно легко. Не?

DALDON ★★★★★ ()
Ответ на: комментарий от DALDON

Делать это полностью автоматом несколько опасно. Если админ заболеет на пару дней, а в это время кто-нибудь накачает что-нибудь действительно по работе (да, бывает и такое) и попадёт в топ10? Или просто админ не уследит?

Гораздо безопаснее смотреть топы за неделю/месяц и выборочно банить сайты оттуда.

Ну если хочется реализовать схему, описанную тобой, то думаю её реализация не займёт много времени. Сквид умеет делать отчёты в parsing-friendly формате.

Nao ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.