LINUX.ORG.RU
решено ФорумAdmin

блокировать мобильные приложения в локальной сети (ubuntu)

 , , ,


0

1

Собственно вопрос часто мусолился в интернете но ответа я чтото так и не увидел. Как блокировать сайты в браузере понятно но как заблокировать ненавистные мобильные приложения типо тик тока вк инсты и т.д. для всех клиентов в локальной сети.



Последнее исправление: yatoopoy (всего исправлений: 1)
Проблемы с обновлением Void linux
Библиотека или модуль Apache2
Показаны ответы на комментарий. Показать все комментарии.
Ответ на: комментарий от Pinkbyte

Так там внутри обычно тоже *Host:.*facebook.com Часть только блочит игрушки какие или соцсети заблочить а телеграмм как работал так и будет работать

anonymous
()
Ответ на: комментарий от Pinkbyte

Как я понимаю dpi единственное пока решение но слишком сложное для простого сисадмина. Все-же не понятно почему в браузере нужные сайты блокируются на ура а мобильные приложения продолжают работать. Возникает вопрос можно ли вообще по tcp/ip определить на сервере конкретное приложение работающие на клиенте, dpi я так понимаю основан не на точном определении а по косвенным признакам типо длинны пакета, частоты обмена кадрами и т.п. или все же есть способы?

yatoopoy
() автор топика
Ответ на: комментарий от yatoopoy

DPI я так понимаю пока бесмысленны, потому что только HTTP могут фильтровать. А для HTTPS нужно сертификат клиенту ставить, что вроде только Казахстан пока осилил. В России ждём не дождёмся.

pingvinek
()
Ответ на: комментарий от yatoopoy

почему в браузере нужные сайты блокируются на ура

Зависит от сайта, если там что-то вида абырвалг163736.cloudfront.net и первая часть постоянно меняется - удачи это заблокировать. Не, ну можно всё облако забанить конечно, но если это какой-нибудь CloudFlare - отвалится четверть интернета, не меньше.

Те же гугл сервисы бывает точечно банить очень не просто, потому что на одном фронтэнде у тебя и google.com может отдаваться и почта. Ютуб вроде раньше всё-таки с других endpoint-ов работал, как сейчас - хз.

Pinkbyte ★★★★★
()
Ответ на: комментарий от pingvinek

Мы например используем Carbon Reductor. Еще народ хвалил/ругал в этом плане СКАТ DPI.

Насчет нормальных DPI, которые занимаются не только блокировками но и статистикой заблокированного в разрезе конкретных пользователей - тут я хз.

Pinkbyte ★★★★★
()
Ответ на: комментарий от pingvinek

для HTTPS нужно сертификат клиенту ставить, что вроде только Казахстан пока осилил

Чтобы фильтровать - нет, сертификат перехватывать не надо, достаточно парсить SNI, он передается в открытом виде.

Вот когда введут eSNI повсеместно(или что там вместо него, он уже устареть успел, лол) - вот тогда да, будет весело.

Pinkbyte ★★★★★
()
Ответ на: комментарий от Pinkbyte

достаточно парсить SNI, он передается в открытом виде.

Ну так это получается блокировка всего ресурса, а не отдельной ссылки.

pingvinek
()
Ответ на: комментарий от pingvinek

Из известных мне что-то есть в nDPI

cast vel, он знает гораздо больше :-)

Pinkbyte ★★★★★
()
Ответ на: комментарий от pingvinek

Да. Но это лучше «веерных» блокировок тупо по IP. Сорта говна конечно, но щито поделать - требования такие :-(

Pinkbyte ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Проблемы с обновлением Void linux
Admin
Библиотека или модуль Apache2