LINUX.ORG.RU

squid + rejik3

anonymous
()

можно воспользоваться прокси серверами и продолжать посещать эти сайты, несмотря на ваши ограничения.

грамотнее будет зарезать трафик ко всем сайтам кроме необходимых для дела.

TDrive ★★★★★
()
Ответ на: комментарий от TDrive

> грамотнее будет зарезать трафик ко всем сайтам кроме необходимых для дела.

это все знаем и умеем;) Но сейчас надо тупо список того что запретить, мож у кого есть?

samson ★★
() автор топика
Ответ на: комментарий от samson

>nslookup vkontakte.ru

Имя: vkontakte.ru
Addresses: 87.240.188.250
87.240.188.249
87.240.143.244
87.240.143.243
87.240.143.242
87.240.143.241
87.240.131.100
87.240.131.99
87.240.131.98
87.240.131.97
93.186.224.243
93.186.224.240

nslookup vk.com


Имя: vk.com
Addresses: 87.240.131.101
87.240.131.102
87.240.131.103
87.240.131.104
87.240.143.245
87.240.143.246
87.240.143.247
87.240.143.248
87.240.188.248
87.240.188.253
93.186.224.245
93.186.224.246

и т.д.

TDrive ★★★★★
()

% dig vk.com vkotakte.ru odnoklassniki.ru

anonymous
()
Ответ на: комментарий от TDrive

> грамотнее будет зарезать трафик ко всем сайтам кроме необходимых для дела.

Грамотнее будет использовать прокси и фильтровать страницы по контенту.

four-two-two
()

Лучше сделай белый список,нужных сайтов.Тогда взлетит.

Ubuntu1204LTS
()

Не забудь еще прокси публичные зобанеть :)

Neoretix
()
Ответ на: комментарий от TDrive

Неверно в корне. Надо так:

http://andrux0id.mksat.net/files/bl_dom.conf

# vkontakte.ru
87.240.128.0/18 # VKONTAKTE SPb Net by VKONTAKTE-NET-MNT
93.186.224.0/21 # VKONTAKTE SPb Net 1 by VKONTAKTE-NET-MNT
93.186.232.0/21 # VKONTAKTE SPb Net 2 by VKONTAKTE-NET-MNT
95.142.192.0/20 # VKONTAKTE Moscow Network by VKONTAKTE-NET-MNT

# odnoklassniki.ru
62.105.149.64/26 # ODNOKLASSNIKI-WEB by ODNOCLASSNIKI-MNT
81.176.227.0/24
81.177.30.0/25
81.177.140.0/24
81.177.143.0/24
81.177.156.0/24
89.111.19.141
89.249.18.249
109.238.244.96/27
195.68.188.128/25
195.218.169.0/24
195.222.187.0/24
195.239.106.0/24
212.44.139.64/26
213.33.198.0/24
213.221.7.64/26
217.20.144.0/20
217.106.230.128/26 # ODNOKLASSNIKI-WEB by ODNOCLASSNIKI-MNT

Или так www.linux.org.ru/search.jsp?q=VKONTAKTE&user=adriano32

А вообще http://bgp.he.net/search?search[search]=VKONTAKTE&commit=Search

adriano32 ★★★
()

Позавчера на Cisco Expo один продажник рассказывал смешные истории про то как сотрудники корпоративного сектора свои huawei-свистки от МТС на работу носят чтоб в социалках сидеть, даже если там все грамотно зарезано.

Так что не мучайся, не взлетит.

fagot ★★★★★
()

vkotakte.ru

Это социальная сеть для любителей котов?

vurdalak ★★★★★
()
Ответ на: комментарий от Mr_Alone

судя по местным аналитекам каждый чувак в офисе умеет пользоваться анонимайзерами, думаю гугловский днс тем более они смогут прописать.
Или ты предлагаешь комплексный подход с блокированием 53 порта на чужие серваки?

zolden ★★★★★
()

А тебя ещё не просили зарезать доступ типо всем,но некоторым привилегированным господам доступ оставить?

Будь готов к такому варианту.

wm34
()
Ответ на: комментарий от zolden

ТС же не написал, что у него за система/какие клиенты стоят, и как идёт управление ними, так что чего гадать? Может у него каждый может ставить на комп чего захочет, и настройки на клиентах никак не ограничены. Тогда тут ничего не поможет. А при правильно настроенной сети такого хватит.
И да, ничто не мешает запретить DNS-запросы на внешние IP.

Mr_Alone ★★★★★
()

Было не более пары месяцев назад. Конфиг с адресами одноклассников, вконтакте и анонимайзеров.

ono
()
Ответ на: комментарий от Mr_Alone

Не надо ничего прописывать в DNS. Достаточно прописать в %WINDIR%\system32\drivers\hosts строку 127.0.0.1 vkontakte.ru (в виндах).

И все. Тогда вконтактик ни у кого не взлетит.

LongLiveUbuntu ★★★★★
()
Ответ на: комментарий от adriano32

adriano32

Сам не проверял, конечно?


Попробую угадать:
ты у себя винду пропатчил (и теперь она использует c:\etc\hosts вместо %WINDIR%\system32\drivers\etc\hosts), но забыл про это и теперь удивляешься

zolden ★★★★★
()
Ответ на: комментарий от zolden

Не угадал, просто лично проверено, что такая заглушка работает только для особо одарённых товарищей, для которых Вконтакте — это vkontakte.ru и ничего более.

adriano32 ★★★
()
Ответ на: комментарий от adriano32

ну он просто не стал все домены перечислять...

С анонимайзерами, своими днс и модемами продвинутыми пользователями эта задача становится труднорешаемой в компании с либеральными порядками.
У нас, к примеру, по дефолту разрешён только интранет, запрещено подключение флешек и USB модемов.

Вот с этим уже можно работать.

Не понятно пока только одно - где же долгожданный коммент «такие вещи надо решать административно, а не технически, пусть пользователи лазят где хотят, лишь бы работа выполнялась»

zolden ★★★★★
()
Ответ на: комментарий от LongLiveUbuntu

Пропиши все возможные символьные имена и все.

Пропиши все (а их четыре) сетевых диапазона и всё.

С такими решениями быдлом, правда сисадминским, можно назвать тебя

adriano32 ★★★
()
Ответ на: комментарий от fagot

> huawei-свистки от МТС

Так глушилку поставить или комнаты экранировать!

unanimous ★★★★★
()
Ответ на: комментарий от zolden

ну он просто не стал все домены перечислять...

А у факбука их сотни, перечислять все? А по ip-адресам ходить?... Эх вы..

где же долгожданный коммент «такие вещи надо решать административно, а не технически

Это да.

пусть пользователи лазят где хотят, лишь бы работа выполнялась»

А вот это нет. Пусть лазят там, что касается работы, всё остальное — в нерабочее время.

adriano32 ★★★
()
Ответ на: комментарий от Mr_Alone

> Что мешает поднять DNS и прописать там vk.com -> 127.0.0.1 ?

Что уж там, сразу на лор присылать. Почитают, проникнутся.

melkor217 ★★★★★
()
Ответ на: комментарий от LongLiveUbuntu

То, что ты написал не решает задачи => != решение. И да, ты будешь hosts даже на десятке машин править на каждой по отдельности?

adriano32 ★★★
()
Ответ на: комментарий от melkor217

Кстати хорошая идея. :-) Или на какую-нибудь страницу где говорится о вреде соцсетей. Или редирект на страничку <html>Сообщение о посещении вконтактика отослано начальнику. Зайдите к нему с вазелином. </html>

Mr_Alone ★★★★★
()
Ответ на: комментарий от adriano32

adriano32

То, что ты написал не решает задачи => != решение. И да, ты будешь hosts даже на десятке машин править на каждой по отдельности?

Во первых можно и нужно банить не по hosts файлу на каждой машине а при помощи dnsmasq на одном единственном роутере через который будут ходить в интернет все сотни твоих машин. Во вторых банить нужно не ip адреса которые могут и будут менятся а само имя.

И да подход с dnsmasq это не решение для задачи

wm34

А тебя ещё не просили зарезать доступ типо всем,но некоторым привилегированным господам доступ оставить?

поскольку такое решается уже осьминогай а dnsmasq-ом можно зарезать все куда не дожны попать вообще все юзеры.

init_6 ★★★★★
()
Ответ на: комментарий от LongLiveUbuntu

и так будешь каждое имя, по которому удастся получить доступ к ВК добавлять в hosts? ты глуп, упрям и неисправим...

adriano32 ★★★
()
Ответ на: комментарий от init_6

банить нужно не ip адреса которые могут и будут менятся а само имя.

Не согласен. Мониторить диапазоны куда проще, чем держать в наборе все возможные доменные имена этой соцсети. К тому же ВК, одноклассники, факбук, твиттер, имеют вполне себе чётко выделенные диапазоны адресов, которые не меняются уже пару лет, только добавляются к ним новые диапазоны изредка, проверка чего запросто автоматизируется.

Ну и закрыв имя нужно закрывать доступ при запросе в адресной строке браузера числового IP (аля http://87.240.143.248/, что не есть хорошо, иначе dnsmasq катится к чертям, ходим по IP-шнику. Это пройдено не раз.

adriano32 ★★★
()
Ответ на: комментарий от adriano32

Пойми, 95% населения - идиоты. Перекрыв им доступ к целевым сайтам по символьному имени, ты уже сделаешь большую часть работы. Остальные если и додумаются, как можно ходить в те места, куда им хочется, то будут делать это так, чтобы не спалиться.

LongLiveUbuntu ★★★★★
()
Ответ на: комментарий от LongLiveUbuntu

95% населения - идиоты

А ещё 5% — идиоты вдвойне, поскольку считают всех вокруг идиотами :)

Перекрыв им доступ к целевым сайтам по символьному имени, ты ...

... простимулируешь их искать обходные пути. При варианте с hosts и одним закрытым именем они его найдут очень быстро, просто потыкавшись, спросив у знакомых и родственников, погуглив по форумам, задав вопрос на otvety.mail.ru в конце концов... А так планка сразу настолько высока, что большинство найденных вариантов обхода не работают => дальнейшее желание пытаться пропадает, задача решена.

Твой вариант стоит взять на примету админам, которые привыкли недоделывать, чтоб иметь постоянно чем заняться, вместо того, чтобы заниматься самообразованием и самосовершенствованием :)

adriano32 ★★★
()
Ответ на: комментарий от adriano32

adriano32

Ну и закрыв имя нужно закрывать доступ при запросе в адресной строке браузера числового IP (аля 87.240.143.248/, что не есть хорошо, иначе dnsmasq катится к чертям, ходим по IP-шнику. Это пройдено не раз.

А никто и не говорил что есть идеальная защита. А в данном случае нужно действовать комплексно как минимум dnsmasq+осьминога.

init_6 ★★★★★
()
Ответ на: комментарий от LongLiveUbuntu

> Перекрыв им доступ к целевым сайтам по символьному имени, ты уже сделаешь большую часть работы.

Нет, ты просто промотивируешь их искать более интересные пути решения. То что человек большую часть истории не использовал серое вещество - никак не помешало ему стать самым хитрожопым зверем на Земле.

Остальные если и додумаются, как можно ходить в те места, куда им хочется, то будут делать это так, чтобы не спалиться.


А ещё они расскажут это секретутке или кому ещё, чтобы получить + в репу. Ну а потом об этом узнает весь офис.

По сабжу: Насяльника, принявшего подобное решение (А такие «гении» обязательно находятся в каждой конторе), лучше заранее уведомить о возможных путях обхода.

И попробовать убедить его, что это не лучший способ решения проблем производительности труда. Просто, чтобы не делать лишнюю работу

anonymoos ★★★★★
()
Ответ на: комментарий от LongLiveUbuntu

>Пойми, 95% населения - идиоты.
ориентироваться на это при проектирование, защите системы - самая глупая вещь которую может сделать администратор.

а потом удивляются почему их рабочие сервера кто то использует для ддос атак. как так? ведь все вокруг идиоты?))

TDrive ★★★★★
()
Ответ на: комментарий от TDrive

да за вами болтуном эдаким выехал зондер-отряд Дурова. (и куча крякеров итерета)

havelite
()

vkotakte.ru?

ви таки буковку N потеряли

havelite
()
Ответ на: комментарий от four-two-two

> Грамотнее будет использовать прокси и фильтровать страницы по контенту.

Повышается нагрузка на harware сервера.

blackst0ne ★★★★★
()
Ответ на: комментарий от zolden

> Не понятно пока только одно - где же долгожданный коммент «такие вещи надо решать административно, а не технически, пусть пользователи лазят где хотят, лишь бы работа выполнялась»

У нас, кстати, именно такая политика.

blackst0ne ★★★★★
()
Ответ на: комментарий от LongLiveUbuntu

> Не надо ничего прописывать в DNS. Достаточно прописать в %WINDIR%\system32\drivers\hosts строку 127.0.0.1 vkontakte.ru (в виндах).

Как ты это будешь делать на сотнях workstations?

blackst0ne ★★★★★
()

не получится или прокся какаянить или ahadoc в телефоне ...нудо вайтлистить рабочие сайты

izmena ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.