Добрый день, Друзья!
Возникла потребность ограничить доступ пользователей к определенным сайтам! Каким образом это сделать? Спасибо за помощь!
> Добрый день, Друзья!
> Возникла потребность ограничить доступ пользователей к определенным сайтам! Каким образом
> это сделать? Спасибо за помощь!Зависит от текущей схемы сети, организации выхода в инет и уровня желаемого ограничения.
> Добрый день, Друзья!
> Возникла потребность ограничить доступ пользователей к определенным сайтам! Каким образом
> это сделать? Спасибо за помощь!самый действенный способ - административный. Вы закроете "вконтакте" (прокси, правкой днс и.т.д.) затем будете закрывать бесплатные прокси, запрещать ввод ай-пи цифрами, запрещать сайты по списку яндекса "получить доступ вконтакт" и.т.д. Самый простой способ - запретить приказом и депримировать вплоть до увольнения.
>> Добрый день, Друзья!
>> Возникла потребность ограничить доступ пользователей к определенным сайтам! Каким образом
>> это сделать? Спасибо за помощь!
> самый действенный способ - административный. Вы закроете "вконтакте" (прокси, правкой
> днс и.т.д.) затем будете закрывать бесплатные прокси, запрещать ввод ай-пи цифрами,
> запрещать сайты по списку яндекса "получить доступ вконтакт" и.т.д. Самый простой
> способ - запретить приказом и депримировать вплоть до увольнения.к Сожалению уволить никого не получится))) мы оператор связи представляющий доступ в интернет! но по новому законодательству РОСКОМНАДЗОРА мы обязаны запретить доступ к списку сайтов которые они считают вредными содержащими не нормативную информацию и т.д. - Устанолен Сентос 5 + билинг + радиюс - возможно ли это сделать через iptables?
> мы оператор связи представляющий доступ в
> интернет! но по новому законодательству РОСКОМНАДЗОРА мы обязаны запретить доступ к
> списку сайтов которые они считаютЮриста своего спроси -- он тебе выгрузит готовые конфиги из "того закона".
> но по новому законодательству РОСКОМНАДЗОРА мы обязаны запретить доступ к
> списку сайтов которые они считают вредными содержащими не нормативную информацию и
> т.д. - Устанолен Сентос 5 + билинг + радиюс -
> возможно ли это сделать через iptables?А Вы сам Закон-то читали? Или излагаете так, как Вам кажется? :) Нет нам ничего про "ненормативную информацию". Выгружайте реестр с сайта РКН (zapretinfo - как_его_там) и блокируйте по IP - там есть не только URL, но и IP-адреса. Закон вам (провайдеру) этого не запрещает. И молитесь Роскомнадзору, чтобы они в очередной раз какой-нибудь IP youtube (и прочих Гуглов) не заблокировали. Зайдите на forum.nag.ru - почитайте соответствующие темки - там предлагались решения.
ПыСы: у нас есть DPI (SCE-8080) - блокируем на ней конкретные УРЛы.
>[оверквотинг удален]
>> т.д. - Устанолен Сентос 5 + билинг + радиюс -
>> возможно ли это сделать через iptables?
> А Вы сам Закон-то читали? Или излагаете так, как Вам кажется?
> :) Нет нам ничего про "ненормативную информацию". Выгружайте реестр с сайта
> РКН (zapretinfo - как_его_там) и блокируйте по IP - там есть
> не только URL, но и IP-адреса. Закон вам (провайдеру) этого не
> запрещает. И молитесь Роскомнадзору, чтобы они в очередной раз какой-нибудь IP
> youtube (и прочих Гуглов) не заблокировали. Зайдите на forum.nag.ru - почитайте
> соответствующие темки - там предлагались решения.
> ПыСы: у нас есть DPI (SCE-8080) - блокируем на ней конкретные УРЛы.можно небольшой вопhjсик
если telnet'ом стукнуть в 80 порт и запросить GET'ом чего-то там, причём неспеша, а так чтобы сам url был разбит на разные ip пакеты SCE'шка пропустит? или нет?
> можно небольшой вопhjсик
> если telnet'ом стукнуть в 80 порт и запросить GET'ом чего-то там, причём
> неспеша, а так чтобы сам url был разбит на разные ip
> пакеты SCE'шка пропустит? или нет?Честно говоря - не пробовали. Но механизм анализа типов трафика - впечатляет. На какти (по SNMP) выводится классификация этих видов. Теоретически можно при помощи включения и конфигурации механизма RDR строить отчеты вообще по каждому пользователю. Но оно:
1. И не надо.
2. Довольно сильно нагружает процессор, а это уже лишнее.
Тем не менее - RDR, снимаемый с SCE - отличная альтернатива NetFlow, если не стоит задача детализации трафика, а просто учета. Хотя у нас снимается и то, и то. НетФлоу - для "органов", RDR - для простого подсчета трафика. Большинство тарифов - все равно безлимитные, так что и вопрос эккаунтинга, по видимому, в обозримом будущем будет снят.
>[оверквотинг удален]
> при помощи включения и конфигурации механизма RDR строить отчеты вообще по
> каждому пользователю. Но оно:
> 1. И не надо.
> 2. Довольно сильно нагружает процессор, а это уже лишнее.
> Тем не менее - RDR, снимаемый с SCE - отличная альтернатива NetFlow,
> если не стоит задача детализации трафика, а просто учета. Хотя у
> нас снимается и то, и то. НетФлоу - для "органов", RDR
> - для простого подсчета трафика. Большинство тарифов - все равно безлимитные,
> так что и вопрос эккаунтинга, по видимому, в обозримом будущем будет
> снят.к сожалению меня сильно интересует именно проблема (возможная) обхода подобными запросами SCE, скоро придёт железка на тест -- я конечно сам посмотрю, НО вопрос этот возникает потому, что наши законотвор^W как бы их повежлевее назвать... озвучивают мысть что необходимо будет повсеместнj использовать DPI. и грусть у меня от того, что придётся покупать "настоящие" DPI. типа allot, а там ценник за гигабит очень негуманный.
> Добрый день, Друзья!
> Возникла потребность ограничить доступ пользователей к определенным сайтам! Каким образом
> это сделать? Спасибо за помощь!тремя способыми
1. купить DPI за много денег и думать что все сделано за нас.
2. дропнуть на своём резолвере
3. машина со squid'ом инжектит /32 маршруты на себя , а дальше списком url и -j TPROXY
> тремя способыми
> 1. купить DPI за много денег и думать что все сделано за
> нас.
> 2. дропнуть на своём резолвере
> 3. машина со squid'ом инжектит /32 маршруты на себя , а дальше
> списком url и -j TPROXYесть есчо гораааздо более простой ))
делать выгрузки (автоматически), чтобы надзор видел что вы "исполняете закон"
а по факту тупо забить - ибо скорей всего у оператора уже давно зафильтровано - и смысла особого у провайдеров и субпровайдеров в фильтрации просто нет
>[оверквотинг удален]
>> 1. купить DPI за много денег и думать что все сделано за
>> нас.
>> 2. дропнуть на своём резолвере
>> 3. машина со squid'ом инжектит /32 маршруты на себя , а дальше
>> списком url и -j TPROXY
> есть есчо гораааздо более простой ))
> делать выгрузки (автоматически), чтобы надзор видел что вы "исполняете закон"
> а по факту тупо забить - ибо скорей всего у оператора уже
> давно зафильтровано - и смысла особого у провайдеров и субпровайдеров в
> фильтрации просто нетээээ--нет
магистральщики начали отключать свои роуты в /dev/null -- потому что некоторые провы уже сделали фильтры по url
и забить не получится, потому что свякие там органы проверяют регулярно.
> и забить не получится, потому что свякие там органы проверяют регулярно.проверяют чего и где? )
>> и забить не получится, потому что свякие там органы проверяют регулярно.
> проверяют чего и где? )проверяют доступность соответствующих url'ов
в Свердловске как минимум у двух из десятка самых крупных -- если честно небыло надобности интересоваться у других.
Подумалось. А если покрутить l7-filter в СentOS? Вот варианты прикручивания (в том числе OpenDPI):
1. http://habrahabr.ru/post/108280/
2. http://redhat-club.org/forum/viewtopic.php?id=6679
Возможно - покрутить --string iptables. Вот только возникают сомнения при развесистых алгоритмах обработки - справится ли железка? Можно вообще уж тупо роутить имеющиеся в реестре IP в /dev/null (при этом снимается нагрузка от анализа средствами iptables). Осознавая, конечно, последствия блокировки по IP. Еще вариант, который приходит в голову, и частично названный ранее - перенаправлять весь трафик через squid с резкой уже на нем конкретных URLов. Но это так... мысли вслух.
Ну и вдогон про string - http://sudouser.com/blokirovka-nezhelatelnyx-url-s-pomoshhyu...
> Ну и вдогон про string - http://sudouser.com/blokirovka-nezhelatelnyx-url-s-pomoshhyu...Огромное спасибо! буду мучить железку!)
> Огромное спасибо! буду мучить железку!)Про нагрузку не забудьте. Если сеть маленькая - то потянет. А вот если большая - "возможны нюансы". ;) Разветвленное дерево iptables может довольно существенно нагрузить систему
кстати кому-то еще интересен скрипт автозагрузки запрещенного списка?
я тута у поциков дернул и по себя дописал ... (на перле)