блокировать мобильные приложения в локальной сети (ubuntu)

Ломаешь им DNS, пользователи перестают юзать твой «вайфай без интернета». Дурное дело нехитрое.

не, нужно чтобы обычный интернет оставался, только некоторые приложения выпилить надо.

Смотришь куда они лезут и блокируешь адреса. Для некоторых это сделать сложно или вообще нельзя

https://ru.wikipedia.org/wiki/%D0%9F%D1%80%D0%BE%D0%B1%D0%BB%D0%B5%D0%BC%D0%B0_XY

Вот полюбому 1) проблема административная и техническими средствами нерешаемая 2) судя по нулевой реакции на предложение сломать резолвинг соответствующих запросов технические решения ты все равно реализовывать не бросишься.

Итак, чего на самом деле хочешь и что готов ради этого делать?

Поныть
Поныть

DPI. Для opensource-решений заранее приготовься страдать и писать сигнатуры вручную.

Так там внутри обычно тоже *Host:.*facebook.com Часть только блочит игрушки какие или соцсети заблочить а телеграмм как работал так и будет работать

Практически нереально. Усложнить жизнь ты сможешь, конечно, но частями оно все равно останется работать. Плюс - мобильный инет ты им как отключишь? Или задаче просто не пустить через вашу сеть, а напрямую с дебильника пофиг?

Ага проанализирую трафик как нибудь в офисе 80-90 процентов ютубчик и скотсети, если анально не огораживать.

Эти так званные «ненавистные мобильные приложения» тоже, по сути, «сайты в браузере». Так что, принцип блокировки тот же.

Например, в Mikrotik я сделал блокировку ненужного с помощью правила дропа пакетов на 53 порту, которые по Layer7 протоколу отлавливаются regexpом.

Но эта блокировка эффективна лишь на контролируемых клиентских устройствах (а ля «рабочий компьютер»). На личных мобилочках любая (повторяю, ЛЮБАЯ) такая блокировка обойдется установкой первого же VPN из стора. АноимусыОпытные ЛОРчане возразят, что можно блокировать и сам VPN протокол - и будут правы. Но тут на помощь приходят другие способы обхода и игра начинается по новой.

И вот мы подошли к сути - если надо ограничить доступ к ресурсам на девайсах, к которым формально доступа нет, то выручит лишь блокировка сразу всего и введение вайтлистов.

вайтлистов

Личным неподконтрольным мобилкам делать нечего в рабочей локальной сети, а что там пользователи делают через личный мобильный инет, ни кого …ть не должно если рабочему процессу не мешает. Но если доступ в лс с личных мобилок нужен, то такие мобилки становятся частью ис и должны подчинятся тем же правилам что и раб. железо. Ну а дальше как реализованы политики ис - вайтлисты это, блоировка целыми АС, какие то организационно-административные(отчеты по исполтзованию трафика с последующими мерами при нарушении) меры, тут уже кто во что горазд. ИМХО Личным девайсам в ис организации делать нечего, хотя могут быть исключения.

Личным неподконтрольным мобилкам делать нечего в рабочей локальной сети

хотя могут быть исключения

Сам написал, сам опроверг - красавчик :)

красавчик

Стараюсь)))

Та не, куча случаев когда нужна мобильность. Но да белый лист на корпоративные ресурсы и почту остальное лесом. Клиентам отдельная сеть без ограничений но она никак не связана с рабочей и ограничена по скорости на одно устройство. Работяги конечно ей пользуются ну тут уж и хай, начальство не лютует

Так я и написал же, если доступ в ис нужен, то мобилка становится частью этой ис, а значит на нее должны действовать и соответсвующие правила. Но все же мобильность нужна не всем по головно и для достяжения онной можно использовать корпоративные мобилки, планшеты, буки

Как я понимаю dpi единственное пока решение но слишком сложное для простого сисадмина. Все-же не понятно почему в браузере нужные сайты блокируются на ура а мобильные приложения продолжают работать. Возникает вопрос можно ли вообще по tcp/ip определить на сервере конкретное приложение работающие на клиенте, dpi я так понимаю основан не на точном определении а по косвенным признакам типо длинны пакета, частоты обмена кадрами и т.п. или все же есть способы?

хочу заблокировать мобильные приложения/игры для клиентов сетей в офисе, но как я понял универсального решения для защищенных соединений нет кроме сложного dpi.

белый лист слишком узко, иногда пользователям нужен интернет для решения каких то проблем, я же не могу учесть все подобные случаи)

создай белый список, притом чтобы пользователи могли вносить сами в него записи - потом тех, кто внес туда лишнее штрафуй.

ну внесенного может быть очень много за сутки это придется каждый сайт в ручную проверять, да и мне не репрессии нужны а эффективное решение которого похоже нет(

Ещё выше. Хочешь, чтобы не играли сотрудники?

вообще не пользовались приложениями, ибо конкретные перебанить все равно не возможно.

Это не возможно, если только не выдавать самому устройства. Или белый список или черный и смирись с тем что все равно будут обходить, мотивирую людей на выполнение нужной работы а то чем в процессе занимаются волновать не должно. Если пинают х.. вместо работы значит неправильно организована работа, вспомни анекдот про кошку .. сама и с песнями

установить какое-то приложение типа родительского контроля всем сотрудникам.

Ну если все же белый лист, то несколько в зависимости от нужд отделов. И расширять при необходимости после согласования и утверждения запроса от пользователя, отдела или что там у вас.

Ну так вперёд, издавай указ по предприятию.

А какие DPI используют провайдеры исполняющие требования Роскомнадзора?

ну да пока белый лист реалистичнее всего выглядит и проще в реализации.

мои полномочия ограничены креслом и серваком

там дорогостоящее оборудование которое они за счет налогоплательщиков впихнули…

Для этого существуют правила, регламенты, етц… по пользованию ис/лвс предприятия которые разрабатываются, согласовываются, утверждаются и доводятся до свединия всех заинтересованных сотрудников под роспись. Сотрудник же обязуется их выполнять. Нарушил плучил по корману ну или как там у вас принято. Вот через них и запрещай.

Ну тогда не выдумывай и сиди в своём кресле ровно.

ну моя задача была разузнать есть ли решения для этого а дальше уже не моя забота, так что я и сижу ровно)

так что спасибо всем кто принял участие в обсуждении!

Ну выйти с предложением тебе ни кто не запрещает, можно еще отдел иб привлекать, если конечно он есть.

нет только ит недоотдел есть) покрайней мере раз даже здесь нет простого решения значит его нет вообще, даже роскомнадзор со своими возможностями и миллиардами пока ничего не придумал иначе бы уже давно мы без соцсетей итак сидли))

DPI я так понимаю пока бесмысленны, потому что только HTTP могут фильтровать. А для HTTPS нужно сертификат клиенту ставить, что вроде только Казахстан пока осилил. В России ждём не дождёмся.

почему в браузере нужные сайты блокируются на ура

Зависит от сайта, если там что-то вида абырвалг163736.cloudfront.net и первая часть постоянно меняется - удачи это заблокировать. Не, ну можно всё облако забанить конечно, но если это какой-нибудь CloudFlare - отвалится четверть интернета, не меньше.

Те же гугл сервисы бывает точечно банить очень не просто, потому что на одном фронтэнде у тебя и google.com может отдаваться и почта. Ютуб вроде раньше всё-таки с других endpoint-ов работал, как сейчас - хз.

Мы например используем Carbon Reductor. Еще народ хвалил/ругал в этом плане СКАТ DPI.

Насчет нормальных DPI, которые занимаются не только блокировками но и статистикой заблокированного в разрезе конкретных пользователей - тут я хз.

для HTTPS нужно сертификат клиенту ставить, что вроде только Казахстан пока осилил

Чтобы фильтровать - нет, сертификат перехватывать не надо, достаточно парсить SNI, он передается в открытом виде.

Вот когда введут eSNI повсеместно(или что там вместо него, он уже устареть успел, лол) - вот тогда да, будет весело.

достаточно парсить SNI, он передается в открытом виде.

Ну так это получается блокировка всего ресурса, а не отдельной ссылки.

А open source решения есть?

Из известных мне что-то есть в nDPI

cast vel, он знает гораздо больше :-)

Да. Но это лучше «веерных» блокировок тупо по IP. Сорта говна конечно, но щито поделать - требования такие :-(