LINUX.ORG.RU
ФорумGeneral

Squid блокирование odnoklassniki

 , odnoklassniki, ,


0

1

День добрый! Поставили перед мной задачу пофильтровать трафик. Пришлось разбираться с линуксом. Наше на форуме как заблокировать сайт по нахождению слов #iptables -t nat -A PREROUTING -i $NET -m tcp -m string --string #«odnoklassniki» --algo kmp -j. У меня так не заработало плюс мне старшие товарышчи объяснили, что не правильно это все. Поставил сквид - тяжело стало в интернете инфу находить старые статьи про транспарент вылазят, а как я понял SSl трафик без я вного указания прокси в системе через транспарент не сделать. Вобщем я завернул на транспарент 80 порт а 443 пропустил на маскарад. Начал разбираться с ACL не все получилось как хотел, НО строки acl blacklist dstdomain vk.com acl blacklist dstdomain *\.odnoklassniki\.ru acl blacklist dstdomain facebook.com acl blacklist dstdomain vk.ru acl blacklist dstdomain .*\.odnokalsniki\.ru acl blacklist dstdomain facebook.ru acl blacklist dstdomain odnoklassniki.com

http_access deny blacklist

VK блокирует а одноклассники нет и только рассмотрение дампом сесси показало st.mycdn.me .

Народ как бороться ? Про анонимайзеры и тп речь сейчас вообще не идет.


Ответ на: комментарий от darkenshvein

ДА. НО завтра они сети поменяют или добавят а одноклассники склеяны с маил ру, а их закрывать не надо. А айпишники находить и тп и тд , и регуляно зачем ? Если можно зарулить в сквид и там запрос блокировать ведь он то идет на домен. Я уже думал DNS еще поправить но это следующий щаг.

Gunny
() автор топика
Ответ на: комментарий от Gunny

НО завтра они сети поменяют или добавят а одноклассники склеяны с маил ру,

Бань целые подсети, делов то!

roman77 ★★★★★
()
Ответ на: комментарий от roman77

Да ну ну топор это, я ж по красивому хотю.

Gunny
() автор топика

Проще: 1. Блокируем доступ вовне на все эти прокси (то есть, порты 8080 3128 3129 етс). 2. Заворачиваем DNS по портам TCP/UDP на свой собственный DNS-сервер. 3. Где прописана зона *.odnoklassniki.ru. Которая указывает на какую-нибудь корпоративную страничку с ЖУТКИМИ угрозами в адрес планктона типа «за каждое посещение этой страницы штраф 50% месячной заработной платы».

Ну а вообще, это бессмысленно. Сейчас почти у каждого есть смартфон-ноут, с которых по жопорезу или ётё можно персонально сидеть в Инете и не обращать внимание на корпоративную сеть.

slamd64 ★★★★★
()

Раз ты сквидом решил рулить, не блокируй их полностью, а блокируй регэкспами только картинки с этих сайтов. Это касается, как ВК, так и ОК. Это очень легко сделать. И в результате трафик будет на 3 копейки и овцы целы и волки сыты.

anto215 ★★
()
Ответ на: комментарий от anto215

Да заворот уже сделал. Те кто хочет сидеть с телефона пуст сидят. я думаю через время надоест. Просто на бухов жалуются, что просиживают целый день, на секретарей пришлось принять против не сообразительных меры.

«Это касается, как ВК, так и ОК. Это очень легко сделать.» - у меня получилось только вк. Однокласники все равно работают о чем собственно был вопрос.

Gunny
() автор топика
Ответ на: комментарий от anonymous

Почему squid, а не privoxy?

А почему squid/privoxy а не dnsmasq?

anonymous
()
Ответ на: комментарий от Gunny

Если айпи адресс то айпитаблес.

Есть ещё shorewall.

anonymous
()

Такие вещи режутся конторским ДНСом, а на сквиде режутся анонимайзеры и прокси.

thesis ★★★★★
()
Ответ на: комментарий от thesis

Днс есть. Твитер не могу закрыть он по ссл работает, причем не заворачивается фаерволом. $IPT -t nat -A PREROUTING -i $NET -p TCP -s $LOCAL -d 217.20.147.94 -j DNAT --to-destination 192.168.22.1:80

Gunny
() автор топика
Ответ на: комментарий от Gunny

Еще раз говорю: закрывай (а лучше подменяй) ресолвинг на ДНСах. Кинь эти ковыряния в айпишниках на иптаблесах.

thesis ★★★★★
()

Бань интернеты полностью. Интернет на работе не нужен.

J ★★★★
()
Ответ на: комментарий от thesis

А народ то продвинутый )) тор нынче используют ))

Gunny
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
General