LINUX.ORG.RU
ФорумAdmin

Как Заблокировать youtube в сети через IPTABLES.

 , , , ,


0

2

Что только не делал эта зараза пролазиет. В интернете перепечатка одного и того же причем все не работает! Что я деле,

#iptables -w -I OUTPUT -p udp -m string --string "youtube" --algo bm --from 1 --to 600 -j DROP
#iptables -w -I OUTPUT -p tcp -m string --string "youtube" --algo bm --from 1 --to 600 -j DROP
#iptables -w -I FORWARD -p udp -m string --string "youtube" --algo bm --from 1 --to 600 -j DROP
#iptables -w -I FORWARD -p tcp -m string --string "youtube" --algo bm --from 1 --to 600 -j DROP
#iptables -w -I OUTPUT -p udp -m string --string "googlevideo" --algo bm --from 1 --to 600 -j DROP
#iptables -w -I OUTPUT -p tcp -m string --string "googlevideo" --algo bm --from 1 --to 600 -j DROP
#iptables -w -I FORWARD -p udp -m string --string "googlevideo" --algo bm --from 1 --to 600 -j DROP
#iptables -w -I FORWARD -p tcp -m string --string "googlevideo" --algo bm --from 1 --to 600 -j DROP

iptables -I FORWARD -d youtu.be -j DROP
iptables -I FORWARD -d youtube.com -j DROP
iptables -I FORWARD -d www.youtube.com -j DROP
iptables -I FORWARD -d m.youtube.com -j DROP
iptables -I FORWARD -d googlevideo.com -j DROP
iptables -I FORWARD -d googleusercontent.com -j DROP
iptables -I FORWARD -d googleapis.com -j DROP
iptables -I FORWARD -d i.ytimg.com -j DROP

Все не пашет. подскажите как прикончить трафик!!


Ответ на: комментарий от lamper
iptables -I FORWARD -d youtu.be -j DROP
iptables -I FORWARD -d youtube.com -j DROP
iptables -I FORWARD -d www.youtube.com -j DROP
iptables -I FORWARD -d m.youtube.com -j DROP
iptables -I FORWARD -d googlevideo.com -j DROP
iptables -I FORWARD -d googleusercontent.com -j DROP
iptables -I FORWARD -d googleapis.com -j DROP
iptables -I FORWARD -d i.ytimg.com -j DROP


Имена резолвятся 1 раз при добавлении правил, а адресов там целая куча. Делай скрипт который будет периодически в ipset собирать адреса из dns для интересующих тебя доменов и блокируй этот сет. Либо изучай ndpi/l7filter чтобы оно в заголовках проверяло наличие домена, но вроде уже не актуально и sni тоже в шифрованном виде могут ходить.

Kolins ★★★★★
()
Последнее исправление: Kolins (всего исправлений: 1)
Ответ на: комментарий от lamper

Вот на этом простом шлюзе - перехватываешь исходящие на 53/udp, заворачиваешь их на свой AdGuadHome (с ним проще всего), его же, кстати, раздаешь через dhcp как dns для своей локалки. а в нем уже веб морда есть, с кнопочкой «заблокировать ютуб, снапчат, реддит и всякое»

anonymous
()
Ответ на: комментарий от vbr

Сквид это была моя первая мысль…. Но мне надобен транспорентный сквид, А у меня ума не хватает перекомпилировать сквид с поддержкой https. А гайды из интернета негодные или очень старые…((

lamper
() автор топика
Ответ на: комментарий от lamper

сквид с https это, скорее всего, подмена сертификата, и вопящие адским криком клиентские браузеры. Попробуй не вмешиваться в трафик, посмотри на AdGuard или Pi-Hole и ломай резолв связанных с ютубом доменов.

anonymous
()

Не пашет потому, что ютуп, как и любая другая большая распределенная хреновина c CDN и балансировкой нагрузки, использует робин-бобин через dns. Каждый новый запрос записи A к ДНСу на тему youtube.com будет возвращать новое значение. То есть на фаерволе ютуб разрешился не так как на юзерской машине (в этот определённый момент) вот пакет и не дропается. Во-вторых, у ютуба есть еще и ipv6 адрес, тебе придётся настроить еще и ipv6tables.

justin_case
()
Ответ на: комментарий от tyamur

DoH, в принципе, можно отлавливать в момент бутстрапа. Ведь резолв самого (условно) super-duper-doh.google.com происходит не через libastral, а классическим дедовским DNS. DoT можно просто по порту прибить.

Тут начинается философия про борьбу брони и снаряда и принятие или непринятие цифрового концлагеря.

anonymous
()

Заворот https на прозрачный прокси с анализом tls sni (БЕЗ ПОДМЕНЫ сертификата) и блоком.

Или.

xt_tls - Блок tls sni прямо в iptables.

---

Блок 53 порта это детский сад. Будут ходить через DoH, DoT.

Bers666 ★★★★★
()
Ответ на: комментарий от anonymous

сквид с https это, скорее всего, подмена сертификата, и вопящие адским криком клиентские браузеры

Ничего страшного. Установить корневой сертификат всем и готово. Зато можно отслеживать каждый чих. И админу работа и начальство удовлетворит свои низменные инстинкты и работники будут ходить в интернет с оглядкой.

vbr ★★★★
()
Последнее исправление: vbr (всего исправлений: 1)

Через iptables можно разве что «белый список» реализовать. Запрет же опеределенных сайтов с доступом ко всему остальному интернету таким примитивным инструментом никак не сделаешь, особенное с учетом современных средств обхода.

И если ты думаешь, что пользователи тупые и не смогут настроить proxy и VPN, подумай ещё раз. Выше уже писали, придется городить намного более сложную систему контроля.

Vsevolod-linuxoid ★★★★★
()
Последнее исправление: Vsevolod-linuxoid (всего исправлений: 1)
Ответ на: комментарий от Bers666

ЗАМЕДЛИТЬ

На самом деле с точки зрения сети это даже хуже чем если все хором смотрят ютуб. Нагрузка будет постоянная. Если скорость НЕ резать, то человек смотрящий более короткий ролик быстрее скачает и освободит сеть (учитывая кэш), а так будет куча народу тянуть эти жалкие мегабайты по полчаса, но все хором. Кроме того, как ты не режь скорость, в ютубе всегда юзер может выставить насильно высокое качество, хоть на модеме. Как быстро загрузится и сколько будет подгрузок в минуту это не ютубские проблемы, хочешь в 4к, так он их и отдаст. Ради интереса, попробуй скачать скрипт yt-dlp и запустить его с -D на ссылку любого видева в ютубе, он покажет все варианты качества какие доступны. Ну а если смотрят какую то музыку, то 144 не помеха, наоборот.

justin_case
()
Ответ на: комментарий от Vsevolod-linuxoid

Всё проще, выпускается документ, по которому запрещается пользоваться сервисом youtube и указание, что кто будет замечен - минус премия.

С исключением, что если это не входит в должностные обязанности сотрудника и всё.

anonymous
()
Ответ на: комментарий от justin_case

замедлить
с точки зрения сети это даже хуже

не понял. tc шейпит трафик вполне норм. Отбрасывает пакеты не влезшие в лимит скорости.

Нагрузка будет постоянная

на что?

в ютубе всегда юзер может выставить насильно высокое качество

будет тогда смотреть не видос, а кружочек (спиннер) загрузки

Bers666 ★★★★★
()
Ответ на: комментарий от anonymous

сквид с https это, скорее всего, подмена сертификата

Есть половинчатое решение, без подмены, но только домен виден. Этого достаточно для ТС.

einhander ★★★★★
()
Последнее исправление: einhander (всего исправлений: 1)
Ответ на: комментарий от lamper

А у меня ума не хватает перекомпилировать сквид с поддержкой https

Не можешь решить техническими средствами, используй административные - приказ о лишении премии за использование Ютуба. А далее история браузера, удаленный доступ и т.д.

Только это все херня, так как по постановке задачи видно, что начальственное звено не знает чем заняты его люди, а это уже неполное служебное соответствие.

einhander ★★★★★
()
Последнее исправление: einhander (всего исправлений: 1)