LINUX.ORG.RU
ФорумAdmin

[iptables]Заблокировать Однослассники

 


0

1

Доброго времени суток. Есть маршрутизатор, нужно заблокировать доступ к долбаным однокласникам. Раньше тупо было 127.0.0.1 http://www.odnoklassniki.ru 127.0.0.1 odnoklassniki.ru в /etc/hosts. Юзеры начали ходить по IP. Нарыл их диапазоны в интернете добавил в IPtables правила: 

iptables -A FORWARD -p tcp -s 192.168.1.1/24 -d 81.177.140.0/24 -j DROP
iptables -A FORWARD -p tcp -s 192.168.1.1/24 -d 81.177.141.0/24 -j DROP
iptables -A FORWARD -p tcp -s 192.168.1.1/24 -d 81.177.142.0/24 -j DROP
iptables -A FORWARD -p tcp -s 192.168.1.1/24 -d 81.176.227.0/24 -j DROP
iptables -A FORWARD -p tcp -s 192.168.1.1/24 -d 217.106.230.190/32 -j DROP
iptables -A FORWARD -p tcp -s 192.168.1.1/24 -d 195.222.187.0/24 -j DROP
iptables -A FORWARD -p tcp -s 192.168.1.1/24 -d 212.119.208.0/24 -j DROP
iptables -A FORWARD -p tcp -s 192.168.1.1/24 -d 212.119.209.0/24 -j DROP
iptables -A FORWARD -p tcp -s 192.168.1.1/24 -d 195.239.7.0/24 -j DROP
iptables -A FORWARD -p tcp -s 192.168.1.1/24 -d 192.222.166.0/24 -j DROP
iptables -A FORWARD -p tcp -s 192.168.1.1/24 -d 212.119.216.0/24 -j DROP
iptables -A FORWARD -p tcp -s 192.168.1.1/24 -d 195.239.157.0/24 -j DROP
iptables -A FORWARD -p tcp -s 192.168.1.1/24 -d 213.221.32.0/24 -j DROP
iptables -A FORWARD -p tcp -s 192.168.1.1/24 -d 212.119.195.0/24 -j DROP
iptables -A FORWARD -p tcp -s 192.168.1.1/24 -d 195.239.51.0/24 -j DROP
iptables -A FORWARD -p tcp -s 192.168.1.1/24 -d 62.105.149.0/24 -j DROP
iptables -A FORWARD -p tcp -s 192.168.1.1/24 -d 62.105.140.0/24 -j DROP
iptables -A FORWARD -p tcp -s 192.168.1.1/24 -d 212.44.139.0/24 -j DROP
iptables -A FORWARD -p tcp -s 192.168.1.1/24 -d 195.218.140.0/24 -j DROP
iptables -A FORWARD -p tcp -s 192.168.1.1/24 -d 213.221.7.0/24 -j DROP
iptables -A FORWARD -p tcp -s 192.168.1.1/24 -d 195.218.169.0/24 -j DROP
iptables -A FORWARD -p tcp -s 192.168.1.1/24 -d 212.44.136.0/24 -j DROP

Но иногда всё равно проскакивает другой IP. Как узнать все айпи этого зомбисайтега?

nginx - пост-обработка html документа ПЕРЕД отдачей клиенту
Ejabberd + STUN = VoIP

Либо Squid используем, либо iptables -A FORWARD -d odnoklassniki.ru -j DROP

wbrer ★★★
()
Ответ на: комментарий от OSBuster 
[19:40:04][aitap@Tarkus ~]> sudo iptables -A FORWARD -p tcp -s 192.168.1.1/24 -d odnoklassniki.ru -j DROP
[sudo] password for aitap: 
[19:40:13][aitap@Tarkus ~]> sudo iptables-save 
# Generated by iptables-save v1.4.8 on Sun Dec  5 19:40:22 2010
*filter
:INPUT ACCEPT [2137:769818]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [2892:2832975]
-A FORWARD -s 192.168.1.0/24 -d 212.44.139.84/32 -p tcp -j DROP 
-A FORWARD -s 192.168.1.0/24 -d 213.33.198.141/32 -p tcp -j DROP 
-A FORWARD -s 192.168.1.0/24 -d 213.33.198.171/32 -p tcp -j DROP 
-A FORWARD -s 192.168.1.0/24 -d 213.221.7.74/32 -p tcp -j DROP 
-A FORWARD -s 192.168.1.0/24 -d 213.221.7.105/32 -p tcp -j DROP 
-A FORWARD -s 192.168.1.0/24 -d 62.105.149.106/32 -p tcp -j DROP 
-A FORWARD -s 192.168.1.0/24 -d 195.218.169.203/32 -p tcp -j DROP 
-A FORWARD -s 192.168.1.0/24 -d 195.222.187.139/32 -p tcp -j DROP 
-A FORWARD -s 192.168.1.0/24 -d 195.222.187.171/32 -p tcp -j DROP 
-A FORWARD -s 192.168.1.0/24 -d 195.222.187.203/32 -p tcp -j DROP 
COMMIT
# Completed on Sun Dec  5 19:40:22 2010
[19:40:22][aitap@Tarkus ~]> sudo iptables --version
iptables v1.4.8
[19:40:44][aitap@Tarkus ~]>
AITap ★★★★★
()
Ответ на: комментарий от Chaser_Andrey

От анонимайзеров спасет squid + squidGuard + правильные блэклисты. Проверено.

nnz ★★★★
()
Ответ на: комментарий от OSBuster

>iptables -A FORWARD -p tcp -s 192.168.1.1/24 -d odnoklassniki.ru -j DROP

SIGSEGV


Ты это... днс исходящий-то разреши.

nnz ★★★★
()
Ответ на: комментарий от Chaser_Andrey

От анонимайзеров спасет.

Админу достаточно ввести простой запрос в любимом поисковике и добавить в блеклист.

anonymous
()
Ответ на: комментарий от Chaser_Andrey

> От анонимайзеров не спасет.

Посему, думается мне, следует не запрещать ненужное, а разрешить нужное, после чего 

iptables -A FORWARD -p tcp -s 192.168.1.1/24 -d 0.0.0.0/0.0.0.0 -j DROP

dexpl ★★★★★
()

Тебе нужен прокси (например, squid), на котором можно и нужно зарезать обращения к сайтам по IP и обращения к сайтам, чье имя содержит odnoklassniki. После этого останется лишь почитывать логи и отстреливать анонимайзеры.

thesis ★★★★★
()

1) убери "-s 192.168.1.1/24" из всех цепочек iptables
2) задай deny-правила (dst, dstdomain) в /etc/squid/squid.conf

Подробности в гугле.

Nordman
()

Как узнать все айпи этого зомбисайтега?

А зачем? Просто издайте распоряжение, что это работникам запрещено. Кого застукают, тому минус с зарплаты. Независимо от «метода». Жестоко, но действенно.

Deleted
()
Ответ на: комментарий от Chaser_Andrey

А если без ошибки написать - то не поможет?

anonymous
()

iptables -A FORWARD -s X.X.X.X/X -p tcp -m tcp --dport 443 -m string --string «odnoklassniki» --algo kmp --to 65535 -j REJECT --reject-with icmp-host-unreachable

Minus
()

Забаньте просто проксей все *swf, без флеша эти «одноклассники» никому нужны не будут!

Eddy_Em ☆☆☆☆☆
()

всё что написали до меня, несомненно, круто и поможет от ветхой старушки, но молодёжь способна брать кредиты в банке, чтобы оплачивать анонимные ssl-прокси, от которых поможет только анализ их запросов в логах сквида.

Потому я считаю более простыми административные меры: выпустить приказ и проводить рейды отдела кадров по кабинетам.

anonymous
()
Ответ на: комментарий от Deleted

> Просто издайте распоряжение, что это работникам запрещено

да что это за бред вообще?) неужели вы бы остались на такой работе, которая говорит «кто зайдет на сайт &пиии&, тому денег из ЗП вычтем!» ??? подурели чтоль? это нужно такииим обсосом быть, чтобы такое терпеть))

пусть люди заходят туда, куда им хочется... работу делают? в сроки успевают? ну так какое ваше собачье дело на какие сайты они при этом успевают заходить?!

anonymous
()
Ответ на: комментарий от anonymous

ты не понял, брат анонимус, такие задачи ставит руководитель, которому виднее, чем заниматься работнику на работе — сидеть на вконтактах или работать. Собственно и решать проблему проще тому же начальнику, ведь не собирает он работников на работу при помощи iptables или автопогрузчика, для этого просто есть документы.

anonymous
()
Ответ на: комментарий от anonymous

а я тебе, брат анонимус говорю, что я делаю свою работу хорошо, делаю ее во время... и если хочу пойти в какие-то быдлооднокласники, то пойду в них... а если при этом мне начальник скажеш «ану не ходи туды», то я скажу куда ему пойти и уйду работать в то место, где мою работу будут уважать :) ... все же просто!

з.ы. это то же самое, что у нас в канторе корп.стандартом является Microsoft Windows, но я как работал в gentoo, так и работаю.. и никто не вякает... потому что делаю свою работу опять таки. вот что главное!

anonymous
()

Смотри логи, уведишь подлеца - покарай его анально. Другие после этого сами не захотят. Проверено.

anonymous
()
Ответ на: комментарий от anonymous

>Смотри логи, уведишь подлеца - покарай его анально

да я погдяжу тут все такие упоротые))))

это у вас в России так на работах держат? в ежевых рукавицах?.. кошмар... как творческим людям в таком дурдоме работать можно, не пойму(((

anonymous
()
Ответ на: комментарий от anonymous

> Начальник платит - значит за свои деньги ты должен либо работать, либо залупу сосать.

ты что, реально работаешь 40 часов в неделю?! тупо сидишь и работаешь все это время?! и как с производительностью труда, проблем нет?..

если начальник верит, что такое вообще возможно, то что ж... дибилы-начальники бывают :) но как показывает практика ни к чему хорошему это не приводит...

вот у меня есть в непосредственном подчинении несколько java-быдлокодеров... некоторые из них любят спать и приходят в 11 (хотя рабочий день начинается с 9-ти), некоторые увлекаются спиртным и бывает не выходят на работу после очередной бухли... и они знают, что мне это по барабану, что я просто подшучу очередной раз над ними и дело с концами.... но также они знают, что если хоть на пол дня они просрочат работы, то придет конец «доброму начальнику»... вот чего должны стрематься сотрудники - не сделать работу во время! все остальное - их личное дело...

anonymous
()
Ответ на: комментарий от anonymous

> А ты где работаешь, ананимус? В профиле не нашел инфы

на не далеко тут, в Киеве :) потому и странно такое слышать...

anonymous
()
Ответ на: комментарий от anonymous

60 часов работаю, а че?

капча нынче романтическая пошла, видно от французов словарь спи..ли

anonymous
()
Ответ на: комментарий от anonymous

> 60 часов работаю

это плохо! для твоего здоровья... поверь, оно того не стоит

з.ы. да, капча странная попадается :)

anonymous
()
Ответ на: комментарий от anonymous

Не поверю, мне 90 лет и я уже 20 лет на лоре по 12 часов в день сижу. Ниче страшного.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
nginx - пост-обработка html документа ПЕРЕД отдачей клиенту
Admin
Ejabberd + STUN = VoIP