форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Открытые системы на сервере (Firewall, Фильтрация пакетов / Linux)
Изначальное сообщение		[ Отслеживать ]

"Запрет на доступ к определенным сайтам"	+/–
Сообщение от lemac926 (ok) on 24-Дек-12, 12:34
Добрый день, Друзья! Возникла потребность ограничить доступ пользователей к определенным сайтам! Каким образом это сделать? Спасибо за помощь!
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Запрет на доступ к определенным сайтам"	+/–
Сообщение от fantom (ok) on 24-Дек-12, 12:42
> Добрый день, Друзья! > Возникла потребность ограничить доступ пользователей к определенным сайтам! Каким образом > это сделать? Спасибо за помощь! Зависит от текущей схемы сети, организации выхода в инет и уровня желаемого ограничения.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Запрет на доступ к определенным сайтам"	+1 +/–
Сообщение от mmm (??) on 24-Дек-12, 12:52
> Добрый день, Друзья! > Возникла потребность ограничить доступ пользователей к определенным сайтам! Каким образом > это сделать? Спасибо за помощь! самый действенный способ - административный. Вы закроете "вконтакте" (прокси, правкой днс и.т.д.) затем будете закрывать бесплатные прокси, запрещать ввод ай-пи цифрами, запрещать сайты по списку яндекса "получить доступ вконтакт" и.т.д. Самый простой способ - запретить приказом и депримировать вплоть до увольнения.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	3. "Запрет на доступ к определенным сайтам"	+/–
	Сообщение от lemac926 (ok) on 24-Дек-12, 14:46
	>> Добрый день, Друзья! >> Возникла потребность ограничить доступ пользователей к определенным сайтам! Каким образом >> это сделать? Спасибо за помощь! > самый действенный способ - административный. Вы закроете "вконтакте" (прокси, правкой > днс и.т.д.) затем будете закрывать бесплатные прокси, запрещать ввод ай-пи цифрами, > запрещать сайты по списку яндекса "получить доступ вконтакт" и.т.д. Самый простой > способ - запретить приказом и депримировать вплоть до увольнения. к Сожалению уволить никого не получится))) мы оператор связи представляющий доступ в интернет! но по новому законодательству РОСКОМНАДЗОРА мы обязаны запретить доступ к списку сайтов которые они считают вредными содержащими не нормативную информацию и  т.д. - Устанолен Сентос 5 + билинг + радиюс - возможно ли это сделать через iptables?
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "Запрет на доступ к определенным сайтам"	+/–
	Сообщение от Andrey Mitrofanov on 24-Дек-12, 15:04
	> мы оператор связи представляющий доступ в > интернет! но по новому законодательству РОСКОМНАДЗОРА мы обязаны запретить доступ к > списку сайтов которые они считают Юриста своего спроси -- он тебе выгрузит готовые конфиги из "того закона".
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	6. "Запрет на доступ к определенным сайтам"	+/–
	Сообщение от Дядя_Федор on 24-Дек-12, 16:49
	> но по новому законодательству РОСКОМНАДЗОРА мы обязаны запретить доступ к > списку сайтов которые они считают вредными содержащими не нормативную информацию и >  т.д. - Устанолен Сентос 5 + билинг + радиюс - > возможно ли это сделать через iptables? А Вы сам Закон-то читали? Или излагаете так, как Вам кажется? :) Нет нам ничего про "ненормативную информацию". Выгружайте реестр с сайта РКН (zapretinfo - как_его_там) и блокируйте по IP - там есть не только URL, но и IP-адреса. Закон вам (провайдеру) этого не запрещает. И молитесь Роскомнадзору, чтобы они в очередной раз какой-нибудь IP youtube (и прочих Гуглов) не заблокировали. Зайдите на forum.nag.ru - почитайте соответствующие темки - там предлагались решения. ПыСы: у нас есть DPI (SCE-8080) - блокируем на ней конкретные УРЛы.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	9. "Запрет на доступ к определенным сайтам"	+/–
	Сообщение от pavel_simple (ok) on 25-Дек-12, 07:28
	>[оверквотинг удален] >>  т.д. - Устанолен Сентос 5 + билинг + радиюс - >> возможно ли это сделать через iptables? >  А Вы сам Закон-то читали? Или излагаете так, как Вам кажется? > :) Нет нам ничего про "ненормативную информацию". Выгружайте реестр с сайта > РКН (zapretinfo - как_его_там) и блокируйте по IP - там есть > не только URL, но и IP-адреса. Закон вам (провайдеру) этого не > запрещает. И молитесь Роскомнадзору, чтобы они в очередной раз какой-нибудь IP > youtube (и прочих Гуглов) не заблокировали. Зайдите на forum.nag.ru - почитайте > соответствующие темки - там предлагались решения. > ПыСы: у нас есть DPI (SCE-8080) - блокируем на ней конкретные УРЛы. можно небольшой вопhjсик если telnet'ом стукнуть в 80 порт и запросить GET'ом чего-то там, причём неспеша, а так чтобы сам url был разбит на разные ip пакеты SCE'шка пропустит? или нет?
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	12. "Запрет на доступ к определенным сайтам"	+/–
	Сообщение от Дядя_Федор on 25-Дек-12, 08:52
	> можно небольшой вопhjсик > если telnet'ом стукнуть в 80 порт и запросить GET'ом чего-то там, причём > неспеша, а так чтобы сам url был разбит на разные ip > пакеты SCE'шка пропустит? или нет? Честно говоря - не пробовали. Но механизм анализа типов трафика - впечатляет. На какти (по SNMP) выводится классификация этих видов. Теоретически можно при помощи включения и конфигурации механизма RDR строить отчеты вообще по каждому пользователю. Но оно: 1. И не надо. 2. Довольно сильно нагружает процессор, а это уже лишнее. Тем не менее - RDR, снимаемый с SCE - отличная альтернатива NetFlow, если не стоит задача детализации трафика, а просто учета. Хотя у нас снимается и то, и то. НетФлоу - для "органов", RDR - для простого подсчета трафика. Большинство тарифов - все равно безлимитные, так что и вопрос эккаунтинга, по видимому, в обозримом будущем будет снят.
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	13. "Запрет на доступ к определенным сайтам"	+/–
	Сообщение от pavel_simple (ok) on 25-Дек-12, 09:03
	>[оверквотинг удален] > при помощи включения и конфигурации механизма RDR строить отчеты вообще по > каждому пользователю. Но оно: > 1. И не надо. > 2. Довольно сильно нагружает процессор, а это уже лишнее. > Тем не менее - RDR, снимаемый с SCE - отличная альтернатива NetFlow, > если не стоит задача детализации трафика, а просто учета. Хотя у > нас снимается и то, и то. НетФлоу - для "органов", RDR > - для простого подсчета трафика. Большинство тарифов - все равно безлимитные, > так что и вопрос эккаунтинга, по видимому, в обозримом будущем будет > снят. к сожалению меня сильно интересует именно проблема (возможная) обхода подобными запросами SCE, скоро придёт железка на тест -- я конечно сам посмотрю, НО вопрос этот возникает потому, что наши законотвор^W как бы их повежлевее назвать... озвучивают мысть что необходимо будет повсеместнj использовать DPI. и грусть у меня от того, что придётся покупать "настоящие" DPI. типа allot, а там ценник за гигабит очень негуманный.
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

5. "Запрет на доступ к определенным сайтам"	+/–
Сообщение от pavel_simple (ok) on 24-Дек-12, 16:06
> Добрый день, Друзья! > Возникла потребность ограничить доступ пользователей к определенным сайтам! Каким образом > это сделать? Спасибо за помощь! тремя способыми 1. купить DPI за много денег и думать что все сделано за нас. 2. дропнуть на своём резолвере 3. машина со squid'ом инжектит /32 маршруты на себя , а дальше списком url и -j TPROXY
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	7. "Запрет на доступ к определенным сайтам"	+/–
	Сообщение от Pahanivo (ok) on 25-Дек-12, 07:21
	> тремя способыми > 1. купить DPI за много денег и думать что все сделано за > нас. > 2. дропнуть на своём резолвере > 3. машина со squid'ом инжектит /32 маршруты на себя , а дальше > списком url и -j TPROXY есть есчо гораааздо более простой )) делать выгрузки (автоматически), чтобы надзор видел что вы "исполняете закон" а по факту тупо забить - ибо скорей всего у оператора уже давно зафильтровано - и смысла особого у провайдеров и субпровайдеров в фильтрации просто нет
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	8. "Запрет на доступ к определенным сайтам"	+/–
	Сообщение от pavel_simple (ok) on 25-Дек-12, 07:24
	>[оверквотинг удален] >> 1. купить DPI за много денег и думать что все сделано за >> нас. >> 2. дропнуть на своём резолвере >> 3. машина со squid'ом инжектит /32 маршруты на себя , а дальше >> списком url и -j TPROXY > есть есчо гораааздо более простой )) > делать выгрузки (автоматически), чтобы надзор видел что вы "исполняете закон" > а по факту тупо забить - ибо скорей всего у оператора уже > давно зафильтровано - и смысла особого у провайдеров и субпровайдеров в > фильтрации просто нет ээээ--нет магистральщики начали отключать свои роуты в /dev/null -- потому что некоторые провы уже сделали фильтры по url и забить не получится, потому что свякие там органы проверяют регулярно.
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	10. "Запрет на доступ к определенным сайтам"	+/–
	Сообщение от Pahanivo (ok) on 25-Дек-12, 07:32
	> и забить не получится, потому что свякие там органы проверяют регулярно. проверяют чего и где? )
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	11. "Запрет на доступ к определенным сайтам"	+/–
	Сообщение от pavel_simple (ok) on 25-Дек-12, 08:09
	>> и забить не получится, потому что свякие там органы проверяют регулярно. > проверяют чего и где? ) проверяют доступность соответствующих url'ов в Свердловске как минимум у двух из десятка самых крупных -- если честно небыло надобности интересоваться у других.
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	14. "Запрет на доступ к определенным сайтам"	+/–
	Сообщение от Дядя_Федор on 25-Дек-12, 09:18
	Подумалось. А если покрутить l7-filter в СentOS? Вот варианты прикручивания (в том числе OpenDPI): 1. http://habrahabr.ru/post/108280/ 2. http://redhat-club.org/forum/viewtopic.php?id=6679 Возможно - покрутить --string iptables. Вот только возникают сомнения при развесистых алгоритмах обработки - справится ли железка? Можно вообще уж тупо роутить имеющиеся в реестре IP в /dev/null (при этом снимается нагрузка от анализа средствами iptables). Осознавая, конечно, последствия блокировки по IP. Еще вариант, который приходит в голову, и частично названный ранее - перенаправлять весь трафик через squid с резкой уже на нем конкретных URLов. Но это так... мысли вслух.
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	15. "Запрет на доступ к определенным сайтам"	+/–
	Сообщение от Дядя_Федор on 25-Дек-12, 09:19
	Ну и вдогон про string - http://sudouser.com/blokirovka-nezhelatelnyx-url-s-pomoshhyu...
	Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

	16. "Запрет на доступ к определенным сайтам"	+/–
	Сообщение от lemac926 (ok) on 26-Дек-12, 10:30
	> Ну и вдогон про string - http://sudouser.com/blokirovka-nezhelatelnyx-url-s-pomoshhyu... Огромное спасибо! буду мучить железку!)
	Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

	17. "Запрет на доступ к определенным сайтам"	+/–
	Сообщение от Дядя_Федор on 26-Дек-12, 12:28
	> Огромное спасибо! буду мучить железку!) Про нагрузку не забудьте. Если сеть маленькая - то потянет. А вот если большая - "возможны нюансы". ;) Разветвленное дерево iptables может довольно существенно нагрузить систему
	Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

	18. "Запрет на доступ к определенным сайтам"	+/–
	Сообщение от Pahanivo (ok) on 30-Дек-12, 21:20
	кстати кому-то еще интересен скрипт автозагрузки запрещенного списка? я тута у поциков дернул и по себя дописал ... (на перле)
	Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема