Заблокировать vk

[sleepnow]

Добрый день. Есть сервер - шлюз. К нему цепляются pptp клиенты.
Задача - заблокировать наглухо доступ к вк,одноклассникам и прочей муре. Хотя бы с вк разобраться и то хорошо сети будет
Юзеры используют анонимайзеры типа cameleo и прочих ( без ssl и наворотов.. ) устал вносить эти подсети в дроплист.
Возможно как-то это обыграть по другому?

[TheFalkorr]

squid, iptables, whitelist разрешенных доменов

[sleepnow]

squid, iptables, whitelist разрешенных доменов

Второе, третье как поможет при работе с анонимайзерами?

iptables -I FORWARD -p tcp --dport 80 -m string --algo kmp --string "vk.com" -j DROP
Можно и так, но через анонимайзеры не пройдет.. Я и так уже с первою по 3-ю страницу в гугле "заблокировали контакт" "анонимайзеры" прописал в дроплист.
Вайтлист не подходит (( Нужен весь интернет, кроме неугодных сайтов.
А кеширующий прокси разве как-то спасет от сервисов выше? Поправьте, если ошибаюсь..

[Yuriy_Y]

Если сквид использовать как прозрачный прокси, то реально заблочить только им. Или сделать запись на ДНС сервере шлюза, чтоб майл.ру, к примеру, указывал на локальный ИП адрес.

Хотя, сквид не сможет блочить использование анонимайзеров.

[sleepnow]

К большому сожалению не работает с анонимайзерами подобного вида:

Код: [Выделить]

vkpse.com.ext.spoolls.ru
vkpse.com.ext.allfinansi.ru
vkpse.com.ext.rawmsk.ru
graberz.ru
privatevid.ru
xsave.ru
taptop.ru
valeratime.ru
vkdevil.ru
vokontakt.ru
vkgate.ru
kontaktvam.ru
zritekino.ru
zritelkino.ru
savez.ru
filmparty.ru
netzamku.ru
bezdostupa.ru
vkcrack.ru
yaprosto.ru
vkontaktenetu.ru
gogate.ru
gdekontakt.ru
Это уже в дроп листе. Как подобные блочить в iptables?
Пользователь решил продолжить мысль 14 Июня 2012, 11:11:20:как например фильтровать контент ? Скажем дропнуть сайт, если в его содержимом есть "ВКонтакте © 2006-2012" Ну или натравить на какое-нибудь уникальное слово..

[zhenya0007]

Я когда то блочил в squid , там можно буквально все.

[Дмитрий Бо]

А подписка у него есть, как у AdBlock, например?

[marfey]

nano /etc/hosts
 
0.0.0.0  vk.ru  или другой

я так понял ?

[unimix]

как например фильтровать контент ? Скажем дропнуть сайт, если в его содержимом есть "ВКонтакте © 2006-2012" Ну или натравить на какое-нибудь уникальное слово..

Пишем MITM-демон и... дальше всё зависит от фантазии и законности! А написав такой демон, вероятнее всего продолжишь решать проблему вконтактика или сменишь место работы. =)

[GriefNorth]

Добрый день. Есть сервер - шлюз. К нему цепляются pptp клиенты.
Задача - заблокировать наглухо доступ к вк,одноклассникам и прочей муре. Хотя бы с вк разобраться и то хорошо сети будет
Юзеры используют анонимайзеры типа cameleo и прочих ( без ssl и наворотов.. ) устал вносить эти подсети в дроплист.
Возможно как-то это обыграть по другому?

Пробовал настраивать dansguardian на наличие фраз (phraselist), аля "друзяфки, вконтактик (с), etc" на некоторых анонимайзерах срабатывало, на других же нет. Но дансгуардиан начинал жутко тормозно отдавать страницы пользователям, пришлось отказаться от такой методы, а проблема осталась.

[sleepnow]

GriefNorth, спасибо.
Надо сказать с dansguardian я не работал, как и глубоко не щупал сквид. Но галопом прогуглив все разобрался.
Вообщем решил ( ну почти, на момент написания этого сообщения в голове сумбурные мысли, как реализовать идею до stable результата ).
1. сквид + вебмин + дансгуард.
вебмин так. пригодится =) А вот последнего я настраивал так:
/etc/dansguardian/dansguardian.conf
делаем параметры:

preservecase = 2 ( фильтрация в два хопа. нижний + верхний регистр приводящий.)
hexdecodecontent = on ну тут думаю все ясно.
forcequicksearch = on

Далее переходим в каталог с фильтрами /etc/dansguardian/lists/phraselists и создадим там
touch rus1251 rusutf8 ruskoi8
файлы для всех кодировок нашего интернета.

в файл с кодировкой утф8 вносить изменения след формате:
<фраза>,<40>

Я забанил контакт так:
<В чём п0может ВК0нтакте>,<40>
<ВК0нтакте © 2006-2012>,<40>
<начните вв0дить имя друга>,<40>
<М0я Страница>,<40>

нулики - что бы тест машина отладочная не забанила пост, что пишу)) Вроде даже ssl покрывает.
Для меня правда не понятно, как оно SSL фильтрует? Однако, вроде работает

После вноса изменений нужно перезаписать все тоже самое в файлы с др. кодировками.
iconv -f UTF-8 -t WINDOWS-1251 rusutf8 > rus1251
iconv -c -f UTF-8 -t KOI8-R rusutf8 > ruskoi8
И перезапустить фильтры.
/etc/init.d/dansguardian restart

/etc/dansguardian/lists/weightedphraselist в конец:

#Russian
.Include</etc/dansguardian/lists/phraselists/rus/rus1251>
.Include</etc/dansguardian/lists/phraselists/rus/rusutf8>
.Include</etc/dansguardian/lists/phraselists/rus/ruskoi8>


Теперь дело за малым. в сквиде прописать, что ЧЕРЕЗ него может ходить только админ. в iptables, что без сквида может ходить только админ. А через дансгуард пропустить ВСЕХ остальных завернув с 8080 порта на 80 для определенных клиентов и сетей. Может еще кто-то что-то добавит ?

[M1chA]

Я сделал проще.
Купил вот эту вот классную штуку: http://mikrotik.ru/katalog/katalog/besprovodnye-marshrutizatory/routerboard-433ah
купил тут же корпус: http://mikrotik.ru/katalog/katalog/korpusy/ca-433u
запихал. настроил. кстати о настройке. основа там линуксовый фаер, так что проблем с ним у тебя не возникнет.
есть там и веб прокси.короче, девайс хороший. правда имей ввиду, что я брал под сеть из 100-120 юзеров.
для сетей где пользователей поменьше можно и подешевле взять.
также там есть и ОС. правда платная (если заинтересует-пиши,помогу). ставишь ее настраиваешь и никаких проблем с юзерами не знаешь.

[sleepnow]

M1chA, да я слышал про это. У меня собрано на
Linux 2.6.32-5-amd64 on x86_64
Processor information   Intel(R) Atom(TM) CPU D525 @ 1.80GHz, 4 cores
В мини-itx исполнении.. я только не понимаю, что такого крутого там в ОС? В смысле, каким образом оно фильтрует контент...?

[M1chA]

ipfw + web-proxy + layer7
база = linux
в роутерах и в ос используется одно и тоже по.

[GriefNorth]

sleepnow,
А как у тебя со скоростью отдачи страницы пользователю, задержка большая ? У меня в среднем от 30сек и выше, в зависимости от скорости самого ресурса, нагрузки на сеть и так далее. И если не сложно напиши конфигурацию железки через которую все это дело идет.
P.S. Возникла такая идея. Так как большинство таких сайтов Анонимайзеров и всяких кино -онлайн находятся через поисковики, то может можно как-нибудь блокировать сам GET запрос браузера (в терминологии могу ошибиться, сильно не пинать *sorry* ) Допустим от того же гугла он имеет вид на поиск "Кино онлайн"

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

https://www.google.ru/webhp?sourceid=chrome-instant&ie=UTF-8&ion=1#hl=ru&gs_nf=1&cp=5&gs_id=e&xhr=t&q=%D0%BA%D0%B8%D0%BD%D0%BE+%D0%BE%D0%BD%D0%BB%D0%B0%D0%B9%D0%BD&pf=p&newwindow=1&biw=1600&bih=767&sclient=psy-ab&oq=%D0%9A%D0%B8%D0%BD%D0%BE+&aq=0&aqi=g4&aql=&gs_l=&pbx=1&bav=on.2,or.r_gc.r_pw.r_cp.r_qf.,cf.osb&fp=5850934587197587&ion=1

Не те ли это URL-регулярные выражения, в dansguardian, которые тоже можно заблокировать?