Закрыть доступ по доменному имени в iptables

[mut]

Доброго времени суток.
В iptables есть такой критерий как -destination. Там можно прописать ip-адрес получателя пакета и например дропать все пакеты на определенный ip. А можно как-либо дропать пакеты по доменному имени. Например, если прописать iptables -A FORWARD -p tcp --dport 443 -d vk.com -j DROP, то(по моему мнению) iptables узнает текущий ip и добавил правило, дропать все пакеты к данному ip. Но, как всем известно, у vk.com далеко не один ip-адрес. Как быть?

Заранее благодарен за ответы

[fisher74]

Нет, netfilter  и ухом не ведёт, что там человеки себе для удобства придумали. Так что только ip-ы.
проблемы решать другими средствами. Например, прозрачный прокси с фильтрацией контента. Как вариант замутить локальный DNS-сервер и на нём резать неугодные домены.
Пользователь решил продолжить мысль 03 Октября 2013, 13:30:13:Эти два варианта не панацея и, я больше чем уверен, что есть и друге способы. К примеру административные.
Ведь если пользователь захочет по VтыCаться, то Ваши запреты ничего не дадут, Вы же не отнимаете мобильники/планшеты и т.д. и т.п.

[AnrDaemon]

В одной умной книжке по Subversion есть такая умная фраза - "социальные проблемы техническими средствами не решаются."
Если ваши работники вместо работы шарятся по вконтактику, подумайте, на самом ли деле нужны вам такие работники?
Гораздо лучше всяких банов будут работать административные меры. Поставьте сквид, собирайте статистику, выясняйте, с какой целью работник по вконтактику шарится. И принимайте адекватные меры.
Подчёркиваю, адекватные. Если менеджер вместо ответа на телефонные звонки шарится по соцсетям - это одно. А когда отдел кадров проверяет потенциального кандидата - это, сами понимаете, слегка другое дело.

[ArcFi]

mut, squid + squidGuard / DansGuardian / SkyDNS /etc.

[mut]

решил использовать squid. но расшифровывать хочу не весь https, пусть он таким и будет, зашифрованным. только соц. сети и тому подобные сайты.
Пользователь решил продолжить мысль 03 Октября 2013, 16:38:33:

Ведь если пользователь захочет по VтыCаться, то Ваши запреты ничего не дадут, Вы же не отнимаете мобильники/планшеты и т.д. и т.п.

это да, но положительная статистика по трафику тоже приятная штука. не будут смотреть всякое видео/слушать музыку и т.д.

[ArcFi]

расшифровывать хочу не весь https, пусть он таким и будет, зашифрованным. только соц. сети и тому подобные сайты

https://vk.com/
https://www.facebook.com/

[mut]

расшифровывать хочу не весь https, пусть он таким и будет, зашифрованным. только соц. сети и тому подобные сайты

https://vk.com/
https://www.facebook.com/

это понятно. возможно модер вывесит мне предупреждение, но не буду создавать отдельный трэд.
суть такова. есть такая инструкция
https_port 192.168.56.100:3130 cert=/home/mut/squid.pem key=/home/mut/squid.key transparent ssl-bump
если я пропишу ниже acl vimeo dstdomain .vimeo.com
ssl_bump none vimeo
ssl_bump server-first all
сайт vimeo все равно кричит о подмене сертификата
хотя здесь сказано, что none не декодирует соединение http://www.squid-cache.org/Doc/config/ssl_bump/

[Scorry]

В одной умной книжке по Subversion есть такая умная фраза - "социальные проблемы техническими средствами не решаются."

Золотые слова.

ЗЫЖ Многие менеджеры, кстати, в тех же самых соцсетях вполне себе продуктивно работают.

[mut]

В одной умной книжке по Subversion есть такая умная фраза - "социальные проблемы техническими средствами не решаются."

Золотые слова.

ЗЫЖ Многие менеджеры, кстати, в тех же самых соцсетях вполне себе продуктивно работают.

если какому-то менеджеру нужно работать в соц.сетях пусть пишет служебную руководству и вопрос будет решен

[Scorry]

если какому-то менеджеру нужно работать в соц.сетях пусть пишет служебную руководству и вопрос будет решен

Офф, но отвечу, наверное.

Я не пытаюсь рассказывать вам, как вашим менеджерам стоит работать :-) Я привожу пример работы своего офиса и менеджеров на конкретном (моём) месте работы. У нас, например, выход в сеть не запрещён в принципе ни на какие сайты. Всё происходит очень просто: если человек не заработает себе на хлеб, в конце месяца он его и не получит. Да, на рабочих местах можно увидеть социалочки, но поверьте — очень и очень нечасто. И, что характерно — никто не прячется. Социальные сети давно перестали быть местом для разрастания кружков по интересам и стали огромнейшей площадкой для бизнеса. И, по моему мнению, те, кто видит в соцсетях проблему, для меня подобен тем, кто когда-то отказывался от установки в системные блоки сидиромов из-за боязни установки пользователями игрушек. :-) Где-то так.

[shushpanchik]

В iptables есть такой критерий как -destination.
...
iptables -A FORWARD -p tcp --dport 443 -d vk.com -j DROP
...

У меня как ни странно именно так работает. Только без порта у меня правило, так сказать, чтоб наверняка.

[fisher74]

работает, но перекрывает только один IP данного домена, а именно тот, который на данный момент отрезольвился приоритетным.
Остальные адреса остались доступны. Потому, касательно рассматриваемого домена, Вы закрыли доступ на 50%. Если это будет twitter.com, то на 33%, а если какой-нибудь google.com или ya.ru, то процент резко снижается.

И  эти правила могут стать совершенно бестолковыми, если домен переедет на другие адреса.

[mut]

работает, но перекрывает только один IP данного домена, а именно тот, который на данный момент отрезольвился приоритетным.
Остальные адреса остались доступны. Потому, касательно рассматриваемого домена, Вы закрыли доступ на 50%. Если это будет twitter.com, то на 33%, а если какой-нибудь google.com или ya.ru, то процент резко снижается.

И  эти правила могут стать совершенно бестолковыми, если домен переедет на другие адреса.

именно так. убедился на собственном опыте

[vr]

Вот примеры Блокировок, надежно, но при попадании на сайте ссылок на за баненные сайты, требуемый сайт будет тормозить или вообще не откроется.
Пример Бана по  IP:
iptables -A FORWARD -p tcp -d 87.240.131.117 -j DROP
iptables -A FORWARD -p tcp -d 87.240.131.118 -j DROP
iptables -A FORWARD -p tcp -d 87.240.131.119 -j DROP
iptables -A FORWARD -p tcp -d 87.240.156.161 -j DROP
iptables -A FORWARD -p tcp -d 87.240.156.162 -j DROP
iptables -A FORWARD -p tcp -d 87.240.156.168 -j DROP
iptables -A FORWARD -p tcp -d 217.20.147.94 -j DROP
iptables -A FORWARD -p tcp -d 94.100.180.26 -j DROP
iptables -A FORWARD -p tcp -d 173.252.64.0/18 -j DROP
iptables -A FORWARD -p tcp -d 91.207.59.161 -j DROP
iptables -A FORWARD -p tcp -d 173.194.0.0/16 -j DROP

Пример Бана по  Имени:
iptables -A FORWARD -m string --string "vk.com" --algo kmp --to 65535 -j DROP
iptables -A FORWARD -m string --string "vkontakte.ru" --algo kmp --to 65535 -j DROP
iptables -A FORWARD -m string --string "odnoklassniki.ru" --algo kmp --to 65535 -j DROP
iptables -A FORWARD -m string --string "my.mail.ru" --algo kmp --to 65535 -j DROP
iptables -A FORWARD -m string --string "facebook.com" --algo kmp --to 65535 -j DROP
iptables -A FORWARD -m string --string "rutube.ru" --algo kmp --to 65535 -j DROP
iptables -A FORWARD -m string --string "youtube.com" --algo kmp --to 65535 -j DROP

Но хотелось бы запретить доступ к сайтам конкретному пользователю зная его ip в локалке, а невсем .

[evgen_73]

Но хотелось бы запретить доступ к сайтам конкретному пользователю зная его ip в локалке, а невсем .

тоже интересно как прописать данное правило для нескольких адресов из локальной сети.