Форум русскоязычного сообщества Ubuntu


Следите за новостями русскоязычного сообщества Ubuntu в Twitter-ленте @ubuntu_ru_loco

Автор Тема: Закрыть доступ по доменному имени в iptables  (Прочитано 13106 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн mut

  • Автор темы
  • Новичок
  • *
  • Сообщений: 40
  • nuub
    • Просмотр профиля
Доброго времени суток.
В iptables есть такой критерий как -destination. Там можно прописать ip-адрес получателя пакета и например дропать все пакеты на определенный ip. А можно как-либо дропать пакеты по доменному имени. Например, если прописать iptables -A FORWARD -p tcp --dport 443 -d vk.com -j DROP, то(по моему мнению) iptables узнает текущий ip и добавил правило, дропать все пакеты к данному ip. Но, как всем известно, у vk.com далеко не один ip-адрес. Как быть? :)

Заранее благодарен за ответы

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13751
    • Просмотр профиля
Re: Закрыть доступ по доменному имени в iptables
« Ответ #1 : 03 Октябрь 2013, 13:29:29 »
Нет, netfilter  и ухом не ведёт, что там человеки себе для удобства придумали. Так что только ip-ы.
проблемы решать другими средствами. Например, прозрачный прокси с фильтрацией контента. Как вариант замутить локальный DNS-сервер и на нём резать неугодные домены.

Пользователь решил продолжить мысль 03 Октябрь 2013, 13:30:13:
Эти два варианта не панацея и, я больше чем уверен, что есть и друге способы. К примеру административные.
Ведь если пользователь захочет по VтыCаться, то Ваши запреты ничего не дадут, Вы же не отнимаете мобильники/планшеты и т.д. и т.п.
« Последнее редактирование: 03 Октябрь 2013, 13:32:12 от fisher74 »
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 26080
    • Просмотр профиля
Re: Закрыть доступ по доменному имени в iptables
« Ответ #2 : 03 Октябрь 2013, 15:04:14 »
В одной умной книжке по Subversion есть такая умная фраза - "социальные проблемы техническими средствами не решаются."
Если ваши работники вместо работы шарятся по вконтактику, подумайте, на самом ли деле нужны вам такие работники?
Гораздо лучше всяких банов будут работать административные меры. Поставьте сквид, собирайте статистику, выясняйте, с какой целью работник по вконтактику шарится. И принимайте адекватные меры.
Подчёркиваю, адекватные. Если менеджер вместо ответа на телефонные звонки шарится по соцсетям - это одно. А когда отдел кадров проверяет потенциального кандидата - это, сами понимаете, слегка другое дело.
« Последнее редактирование: 03 Октябрь 2013, 15:07:18 от AnrDaemon »
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн ArcFi

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 15194
    • Просмотр профиля
    • aetera.net
Re: Закрыть доступ по доменному имени в iptables
« Ответ #3 : 03 Октябрь 2013, 15:42:52 »
mut, squid + squidGuard / DansGuardian / SkyDNS /etc.

Оффлайн mut

  • Автор темы
  • Новичок
  • *
  • Сообщений: 40
  • nuub
    • Просмотр профиля
Re: Закрыть доступ по доменному имени в iptables
« Ответ #4 : 03 Октябрь 2013, 16:37:28 »
решил использовать squid. но расшифровывать хочу не весь https, пусть он таким и будет, зашифрованным. только соц. сети и тому подобные сайты.

Пользователь решил продолжить мысль 03 Октябрь 2013, 16:38:33:
Ведь если пользователь захочет по VтыCаться, то Ваши запреты ничего не дадут, Вы же не отнимаете мобильники/планшеты и т.д. и т.п.
это да, но положительная статистика по трафику тоже приятная штука. не будут смотреть всякое видео/слушать музыку и т.д.

Оффлайн ArcFi

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 15194
    • Просмотр профиля
    • aetera.net
Re: Закрыть доступ по доменному имени в iptables
« Ответ #5 : 03 Октябрь 2013, 16:40:20 »
расшифровывать хочу не весь https, пусть он таким и будет, зашифрованным. только соц. сети и тому подобные сайты
https://vk.com/
https://www.facebook.com/

Оффлайн mut

  • Автор темы
  • Новичок
  • *
  • Сообщений: 40
  • nuub
    • Просмотр профиля
Re: Закрыть доступ по доменному имени в iptables
« Ответ #6 : 03 Октябрь 2013, 17:19:13 »
расшифровывать хочу не весь https, пусть он таким и будет, зашифрованным. только соц. сети и тому подобные сайты
https://vk.com/
https://www.facebook.com/
это понятно. возможно модер вывесит мне предупреждение, но не буду создавать отдельный трэд.
суть такова. есть такая инструкция
https_port 192.168.56.100:3130 cert=/home/mut/squid.pem key=/home/mut/squid.key transparent ssl-bump
если я пропишу ниже acl vimeo dstdomain .vimeo.com
ssl_bump none vimeo
ssl_bump server-first all
сайт vimeo все равно кричит о подмене сертификата
хотя здесь сказано, что none не декодирует соединение http://www.squid-cache.org/Doc/config/ssl_bump/
« Последнее редактирование: 03 Октябрь 2013, 18:01:34 от mut »

Оффлайн Scorry

  • Активист
  • *
  • Сообщений: 842
    • Просмотр профиля
Re: Закрыть доступ по доменному имени в iptables
« Ответ #7 : 03 Октябрь 2013, 17:27:21 »
В одной умной книжке по Subversion есть такая умная фраза - "социальные проблемы техническими средствами не решаются."
Золотые слова.

ЗЫЖ Многие менеджеры, кстати, в тех же самых соцсетях вполне себе продуктивно работают.

Оффлайн mut

  • Автор темы
  • Новичок
  • *
  • Сообщений: 40
  • nuub
    • Просмотр профиля
Re: Закрыть доступ по доменному имени в iptables
« Ответ #8 : 03 Октябрь 2013, 17:54:36 »
В одной умной книжке по Subversion есть такая умная фраза - "социальные проблемы техническими средствами не решаются."
Золотые слова.

ЗЫЖ Многие менеджеры, кстати, в тех же самых соцсетях вполне себе продуктивно работают.
если какому-то менеджеру нужно работать в соц.сетях пусть пишет служебную руководству и вопрос будет решен

Оффлайн Scorry

  • Активист
  • *
  • Сообщений: 842
    • Просмотр профиля
Re: Закрыть доступ по доменному имени в iptables
« Ответ #9 : 03 Октябрь 2013, 18:05:02 »
если какому-то менеджеру нужно работать в соц.сетях пусть пишет служебную руководству и вопрос будет решен
Офф, но отвечу, наверное.

Я не пытаюсь рассказывать вам, как вашим менеджерам стоит работать :-) Я привожу пример работы своего офиса и менеджеров на конкретном (моём) месте работы. У нас, например, выход в сеть не запрещён в принципе ни на какие сайты. Всё происходит очень просто: если человек не заработает себе на хлеб, в конце месяца он его и не получит. Да, на рабочих местах можно увидеть социалочки, но поверьте — очень и очень нечасто. И, что характерно — никто не прячется. Социальные сети давно перестали быть местом для разрастания кружков по интересам и стали огромнейшей площадкой для бизнеса. И, по моему мнению, те, кто видит в соцсетях проблему, для меня подобен тем, кто когда-то отказывался от установки в системные блоки сидиромов из-за боязни установки пользователями игрушек. :-) Где-то так.

Оффлайн shushpanchik

  • Активист
  • *
  • Сообщений: 294
    • Просмотр профиля
    • SKSS - "Современные компьютерные сети и системы"
Re: Закрыть доступ по доменному имени в iptables
« Ответ #10 : 04 Октябрь 2013, 09:40:05 »
В iptables есть такой критерий как -destination.
...
iptables -A FORWARD -p tcp --dport 443 -d vk.com -j DROP
...
У меня как ни странно именно так работает. Только без порта у меня правило, так сказать, чтоб наверняка.

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13751
    • Просмотр профиля
Re: Закрыть доступ по доменному имени в iptables
« Ответ #11 : 04 Октябрь 2013, 10:14:36 »
работает, но перекрывает только один IP данного домена, а именно тот, который на данный момент отрезольвился приоритетным.
Остальные адреса остались доступны. Потому, касательно рассматриваемого домена, Вы закрыли доступ на 50%. Если это будет twitter.com, то на 33%, а если какой-нибудь google.com или ya.ru, то процент резко снижается.

И  эти правила могут стать совершенно бестолковыми, если домен переедет на другие адреса.
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн mut

  • Автор темы
  • Новичок
  • *
  • Сообщений: 40
  • nuub
    • Просмотр профиля
Re: Закрыть доступ по доменному имени в iptables
« Ответ #12 : 04 Октябрь 2013, 10:44:53 »
работает, но перекрывает только один IP данного домена, а именно тот, который на данный момент отрезольвился приоритетным.
Остальные адреса остались доступны. Потому, касательно рассматриваемого домена, Вы закрыли доступ на 50%. Если это будет twitter.com, то на 33%, а если какой-нибудь google.com или ya.ru, то процент резко снижается.

И  эти правила могут стать совершенно бестолковыми, если домен переедет на другие адреса.
именно так. убедился на собственном опыте

Оффлайн vr

  • Новичок
  • *
  • Сообщений: 2
    • Просмотр профиля
Re: Закрыть доступ по доменному имени в iptables
« Ответ #13 : 16 Январь 2014, 21:29:19 »
Вот примеры Блокировок, надежно, но при попадании на сайте ссылок на за баненные сайты, требуемый сайт будет тормозить или вообще не откроется. :)
Пример Бана по  IP:
iptables -A FORWARD -p tcp -d 87.240.131.117 -j DROP
iptables -A FORWARD -p tcp -d 87.240.131.118 -j DROP
iptables -A FORWARD -p tcp -d 87.240.131.119 -j DROP
iptables -A FORWARD -p tcp -d 87.240.156.161 -j DROP
iptables -A FORWARD -p tcp -d 87.240.156.162 -j DROP
iptables -A FORWARD -p tcp -d 87.240.156.168 -j DROP
iptables -A FORWARD -p tcp -d 217.20.147.94 -j DROP
iptables -A FORWARD -p tcp -d 94.100.180.26 -j DROP
iptables -A FORWARD -p tcp -d 173.252.64.0/18 -j DROP
iptables -A FORWARD -p tcp -d 91.207.59.161 -j DROP
iptables -A FORWARD -p tcp -d 173.194.0.0/16 -j DROP

Пример Бана по  Имени:
iptables -A FORWARD -m string --string "vk.com" --algo kmp --to 65535 -j DROP
iptables -A FORWARD -m string --string "vkontakte.ru" --algo kmp --to 65535 -j DROP
iptables -A FORWARD -m string --string "odnoklassniki.ru" --algo kmp --to 65535 -j DROP
iptables -A FORWARD -m string --string "my.mail.ru" --algo kmp --to 65535 -j DROP
iptables -A FORWARD -m string --string "facebook.com" --algo kmp --to 65535 -j DROP
iptables -A FORWARD -m string --string "rutube.ru" --algo kmp --to 65535 -j DROP
iptables -A FORWARD -m string --string "youtube.com" --algo kmp --to 65535 -j DROP

Но хотелось бы запретить доступ к сайтам конкретному пользователю зная его ip в локалке, а невсем :D .
« Последнее редактирование: 16 Январь 2014, 21:31:44 от vr »

Оффлайн evgen_73

  • Новичок
  • *
  • Сообщений: 20
    • Просмотр профиля
Re: Закрыть доступ по доменному имени в iptables
« Ответ #14 : 22 Январь 2014, 13:13:03 »
Но хотелось бы запретить доступ к сайтам конкретному пользователю зная его ip в локалке, а невсем :D .
тоже интересно как прописать данное правило для нескольких адресов из локальной сети.

 

Страница сгенерирована за 0.061 секунд. Запросов: 24.