Диапазон IP адресов vkotakte.ru, odnoklassniki.ru

Не взлетит.

squid + rejik3

можно воспользоваться прокси серверами и продолжать посещать эти сайты, несмотря на ваши ограничения.

грамотнее будет зарезать трафик ко всем сайтам кроме необходимых для дела.

> грамотнее будет зарезать трафик ко всем сайтам кроме необходимых для дела.

это все знаем и умеем;) Но сейчас надо тупо список того что запретить, мож у кого есть?

>nslookup vkontakte.ru

Имя: vkontakte.ru
Addresses: 87.240.188.250
87.240.188.249
87.240.143.244
87.240.143.243
87.240.143.242
87.240.143.241
87.240.131.100
87.240.131.99
87.240.131.98
87.240.131.97
93.186.224.243
93.186.224.240

nslookup vk.com

Имя: vk.com
Addresses: 87.240.131.101
87.240.131.102
87.240.131.103
87.240.131.104
87.240.143.245
87.240.143.246
87.240.143.247
87.240.143.248
87.240.188.248
87.240.188.253
93.186.224.245
93.186.224.246

и т.д.

% dig vk.com vkotakte.ru odnoklassniki.ru

> грамотнее будет зарезать трафик ко всем сайтам кроме необходимых для дела.

Грамотнее будет использовать прокси и фильтровать страницы по контенту.

Лучше сделай белый список,нужных сайтов.Тогда взлетит.

Не забудь еще прокси публичные зобанеть :)

dnsmasq

Неверно в корне. Надо так:

http://andrux0id.mksat.net/files/bl_dom.conf

# vkontakte.ru
87.240.128.0/18 # VKONTAKTE SPb Net by VKONTAKTE-NET-MNT
93.186.224.0/21 # VKONTAKTE SPb Net 1 by VKONTAKTE-NET-MNT
93.186.232.0/21 # VKONTAKTE SPb Net 2 by VKONTAKTE-NET-MNT
95.142.192.0/20 # VKONTAKTE Moscow Network by VKONTAKTE-NET-MNT

# odnoklassniki.ru
62.105.149.64/26 # ODNOKLASSNIKI-WEB by ODNOCLASSNIKI-MNT
81.176.227.0/24
81.177.30.0/25
81.177.140.0/24
81.177.143.0/24
81.177.156.0/24
89.111.19.141
89.249.18.249
109.238.244.96/27
195.68.188.128/25
195.218.169.0/24
195.222.187.0/24
195.239.106.0/24
212.44.139.64/26
213.33.198.0/24
213.221.7.64/26
217.20.144.0/20
217.106.230.128/26 # ODNOKLASSNIKI-WEB by ODNOCLASSNIKI-MNT

Или так www.linux.org.ru/search.jsp?q=VKONTAKTE&user=adriano32

А вообще http://bgp.he.net/search?search[search]=VKONTAKTE&commit=Search

samson, будешь крыть, крой заодно анонимайзеры.

Позавчера на Cisco Expo один продажник рассказывал смешные истории про то как сотрудники корпоративного сектора свои huawei-свистки от МТС на работу носят чтоб в социалках сидеть, даже если там все грамотно зарезано.

Так что не мучайся, не взлетит.

Что мешает поднять DNS и прописать там vk.com -> 127.0.0.1 ?

vkotakte.ru

Это социальная сеть для любителей котов?

судя по местным аналитекам каждый чувак в офисе умеет пользоваться анонимайзерами, думаю гугловский днс тем более они смогут прописать.
Или ты предлагаешь комплексный подход с блокированием 53 порта на чужие серваки?

А тебя ещё не просили зарезать доступ типо всем,но некоторым привилегированным господам доступ оставить?

Будь готов к такому варианту.

ТС же не написал, что у него за система/какие клиенты стоят, и как идёт управление ними, так что чего гадать? Может у него каждый может ставить на комп чего захочет, и настройки на клиентах никак не ограничены. Тогда тут ничего не поможет. А при правильно настроенной сети такого хватит.
И да, ничто не мешает запретить DNS-запросы на внешние IP.

Было не более пары месяцев назад. Конфиг с адресами одноклассников, вконтакте и анонимайзеров.

Не надо ничего прописывать в DNS. Достаточно прописать в %WINDIR%\system32\drivers\hosts строку 127.0.0.1 vkontakte.ru (в виндах).

И все. Тогда вконтактик ни у кого не взлетит.

Достаточно прописать в %WINDIR%\system32\drivers\hosts строку 127.0.0.1 vkontakte.ru (в виндах).

Сам не проверял, конечно?

Проверял

И оно работает, даже если задать вместо vkontakte.ru vk.com или m.vkontakte.ru или прямо ip-шник? :D

adriano32

Сам не проверял, конечно?

Попробую угадать:
ты у себя винду пропатчил (и теперь она использует c:\etc\hosts вместо %WINDIR%\system32\drivers\etc\hosts), но забыл про это и теперь удивляешься

Не угадал, просто лично проверено, что такая заглушка работает только для особо одарённых товарищей, для которых Вконтакте — это vkontakte.ru и ничего более.

Офисное быдло такое быдло. Пропиши все возможные символьные имена и все.

Они и не поймут, что случилось.

ну он просто не стал все домены перечислять...

С анонимайзерами, своими днс и модемами продвинутыми пользователями эта задача становится труднорешаемой в компании с либеральными порядками.
У нас, к примеру, по дефолту разрешён только интранет, запрещено подключение флешек и USB модемов.

Вот с этим уже можно работать.

Не понятно пока только одно - где же долгожданный коммент «такие вещи надо решать административно, а не технически, пусть пользователи лазят где хотят, лишь бы работа выполнялась»

Пропиши все возможные символьные имена и все.

Пропиши все (а их четыре) сетевых диапазона и всё.

С такими решениями быдлом, правда сисадминским, можно назвать тебя

> huawei-свистки от МТС

Так глушилку поставить или комнаты экранировать!

ну он просто не стал все домены перечислять...

А у факбука их сотни, перечислять все? А по ip-адресам ходить?... Эх вы..

где же долгожданный коммент «такие вещи надо решать административно, а не технически

Это да.

пусть пользователи лазят где хотят, лишь бы работа выполнялась»

А вот это нет. Пусть лазят там, что касается работы, всё остальное — в нерабочее время.

Еще раз, простые задачи должны порождать простые решения. К чему лишний огород городить?

> Что мешает поднять DNS и прописать там vk.com -> 127.0.0.1 ?

Что уж там, сразу на лор присылать. Почитают, проникнутся.

То, что ты написал не решает задачи => != решение. И да, ты будешь hosts даже на десятке машин править на каждой по отдельности?

Нет. Поправлю только на сервере, а в интернеты буду пускать только через него и никак иначе.

Кстати хорошая идея. :-) Или на какую-нибудь страницу где говорится о вреде соцсетей. Или редирект на страничку <html>Сообщение о посещении вконтактика отослано начальнику. Зайдите к нему с вазелином. </html>

adriano32

То, что ты написал не решает задачи => != решение. И да, ты будешь hosts даже на десятке машин править на каждой по отдельности?

Во первых можно и нужно банить не по hosts файлу на каждой машине а при помощи dnsmasq на одном единственном роутере через который будут ходить в интернет все сотни твоих машин. Во вторых банить нужно не ip адреса которые могут и будут менятся а само имя.

И да подход с dnsmasq это не решение для задачи

wm34

А тебя ещё не просили зарезать доступ типо всем,но некоторым привилегированным господам доступ оставить?

поскольку такое решается уже осьминогай а dnsmasq-ом можно зарезать все куда не дожны попать вообще все юзеры.

и так будешь каждое имя, по которому удастся получить доступ к ВК добавлять в hosts? ты глуп, упрям и неисправим...

банить нужно не ip адреса которые могут и будут менятся а само имя.

Не согласен. Мониторить диапазоны куда проще, чем держать в наборе все возможные доменные имена этой соцсети. К тому же ВК, одноклассники, факбук, твиттер, имеют вполне себе чётко выделенные диапазоны адресов, которые не меняются уже пару лет, только добавляются к ним новые диапазоны изредка, проверка чего запросто автоматизируется.

Ну и закрыв имя нужно закрывать доступ при запросе в адресной строке браузера числового IP (аля http://87.240.143.248/, что не есть хорошо, иначе dnsmasq катится к чертям, ходим по IP-шнику. Это пройдено не раз.

Грегори Хауз, перелогиньтесь :)

Пойми, 95% населения - идиоты. Перекрыв им доступ к целевым сайтам по символьному имени, ты уже сделаешь большую часть работы. Остальные если и додумаются, как можно ходить в те места, куда им хочется, то будут делать это так, чтобы не спалиться.

95% населения - идиоты

А ещё 5% — идиоты вдвойне, поскольку считают всех вокруг идиотами :)

Перекрыв им доступ к целевым сайтам по символьному имени, ты ...

... простимулируешь их искать обходные пути. При варианте с hosts и одним закрытым именем они его найдут очень быстро, просто потыкавшись, спросив у знакомых и родственников, погуглив по форумам, задав вопрос на otvety.mail.ru в конце концов... А так планка сразу настолько высока, что большинство найденных вариантов обхода не работают => дальнейшее желание пытаться пропадает, задача решена.

Твой вариант стоит взять на примету админам, которые привыкли недоделывать, чтоб иметь постоянно чем заняться, вместо того, чтобы заниматься самообразованием и самосовершенствованием :)

adriano32

Ну и закрыв имя нужно закрывать доступ при запросе в адресной строке браузера числового IP (аля 87.240.143.248/, что не есть хорошо, иначе dnsmasq катится к чертям, ходим по IP-шнику. Это пройдено не раз.

А никто и не говорил что есть идеальная защита. А в данном случае нужно действовать комплексно как минимум dnsmasq+осьминога.

> Перекрыв им доступ к целевым сайтам по символьному имени, ты уже сделаешь большую часть работы.

Нет, ты просто промотивируешь их искать более интересные пути решения. То что человек большую часть истории не использовал серое вещество - никак не помешало ему стать самым хитрожопым зверем на Земле.

Остальные если и додумаются, как можно ходить в те места, куда им хочется, то будут делать это так, чтобы не спалиться.

А ещё они расскажут это секретутке или кому ещё, чтобы получить + в репу. Ну а потом об этом узнает весь офис.

По сабжу: Насяльника, принявшего подобное решение (А такие «гении» обязательно находятся в каждой конторе), лучше заранее уведомить о возможных путях обхода.

И попробовать убедить его, что это не лучший способ решения проблем производительности труда. Просто, чтобы не делать лишнюю работу

>Пойми, 95% населения - идиоты.
ориентироваться на это при проектирование, защите системы - самая глупая вещь которую может сделать администратор.

а потом удивляются почему их рабочие сервера кто то использует для ддос атак. как так? ведь все вокруг идиоты?))

да за вами болтуном эдаким выехал зондер-отряд Дурова. (и куча крякеров итерета)

vkotakte.ru?

ви таки буковку N потеряли

> Грамотнее будет использовать прокси и фильтровать страницы по контенту.

Повышается нагрузка на harware сервера.

> Не понятно пока только одно - где же долгожданный коммент «такие вещи надо решать административно, а не технически, пусть пользователи лазят где хотят, лишь бы работа выполнялась»

У нас, кстати, именно такая политика.

> Не надо ничего прописывать в DNS. Достаточно прописать в %WINDIR%\system32\drivers\hosts строку 127.0.0.1 vkontakte.ru (в виндах).

Как ты это будешь делать на сотнях workstations?

не получится или прокся какаянить или ahadoc в телефоне ...нудо вайтлистить рабочие сайты