[хм][идея] Как банить соц сети не сипользуя ip и dns.

Почему бы не банить по строчкам из заголовков запросов?

так а я что делаю. Печенька в заголовке.

такие короткие строчки вполне могуть попасться на других сайтах

вот поэтому я топик и создал.

А строчка «Host: [\d]*.vk.com» вряд ли попадется где-то еще.

а прокси?

При активном трафике разве это не будет создавать на порядок большую нагрузку на CPU?

А что прокси?

Если применять это правило после указанного автором в начале, то нет (так можно?)

А, блин, я вообще о парсинге пакетов. Одно дело, когда траффик около 10 Мбит/c, но совсем другое, когда 100 и более. Насколько нужно мощное железо, чтобы перемалывать столько пакетов, заглядывая внутрь каждого?

Такие строки в начале FORWARD цепочки:

1185 $FW -A FORWARD -m udp -p udp -m string --hex-string "|7F FF FF FF AB|" --algo kmp --from 40 --to 44  -j DROP
1186 $FW -A FORWARD -m udp -p udp -m string --hex-string "|7fffffff0003|" --algo kmp --from 36 --to 41 -j DROP
1187 $FW -A FORWARD -m udp -p udp -m string --hex-string "|0000000000380000|" --algo kmp --from 36 --to 43 -j DROP

eth2.801:  209.51 Mb/s In   924.18 Mb/s Out -  60891.0 p/s In   95816.0 p/s Out

Кушать не просит, два ядра по 3.33GHz.

Но нужно учесть что у меня --from --to указано, а это сильно меняет дело я думаю.

Другое дело что для бана веб сайтов применять такой подход мягко говоря не стоит.

строки в начале FORWARD

Это типа uTP режется, да? Не так глубоко в пакете любой мало-мальски нормальный коммутатор сейчас фильтровать может.

Для фильтрации по тексту запросов нужно работать с пркиладным уровнем, то бишь использовать всякие прокси - это сказано в руководстве по iptables: http://www.frozentux.net/iptables-tutorial/iptables-tutorial.html#WHATISANIPF...

Почему так - там тоже сказано. Для Ъ: пакеты при пересылке через сеть фрагментируются, и строка, которую вы ищете, не попадется вам целиком, если начало ее будет в одном пакете, а конец - в другом. Для того, чтобы такая фильтрация все-таки давала эффект, нужно выполнять работу по поиску указанной подстроки в сериях последовательных пакетов из одного соединения, что создаст повышенную нагрузку на процессор.

iptables нужен для фильтрации на транспортном/сетевом уровнях.

опередил =)

:)

На самом деле, лучший способ банить социальные сети - это держать не черный список сайтов на прокси, а белый..

На самом деле, лучший способ банить…

Лучший способ — иметь по дороге DPI более-менее работающий: SCE, например.

Опять пакетный фильтр же. Для контроля _содержания_ трафика не нужно смотреть отдельные пакеты, а нужно смотреть, какое урло запрашивает браузер.

интересное решение. Надо будет взять на усмотрение если чё.

Опять пакетный фильтр же.

С чего бы? DPI — Deep Packet Inspection. Анализ /содержания/ трафика от L2 до L7 хоть на уровне пакетов, хоть потоков, статистический анализ, поведенческий анализ, семантический, и так далее. Посмотри на ту же Cisco SCE на досуге.

> Опять пакетный фильтр же.

С чего бы?

Deep Packet Inspection

вот с чего. Глубокий анализ _пакетов_. Да неважно, собственно, не знаю, нужен ли такой слон в офисе (или где там ТС работает?)

Просто поставить прокси и на нем забанить? От SSH туннеля на 443 порт спасет только белый список хостов, если товарищ не палится. С другой стороны тот кто это осилил обычно в социалках не сидят.

вот с чего. Глубокий анализ _пакетов_.

Ну так IP — протокол передачи пакетов. Нормальный DPI собирает пакеты в потоки (flow) и анализ уже идет на уровне потоков (tcp сессий), их взаимосвязей (ftp-control+ftp-data, torrent) на уровне протоколов приложений (http).

Да неважно, собственно, не знаю, нужен ли такой слон в офисе

В крупном офисе — однозначно нужен. Там же и защита от DoS/DDoS, троянов, вирусов, спаммеров, утечек ДВП…

лучший способ банить социальные сети

а как насчёт тырить пароли пользователей и (дальше по усмотрению)?

уголовщина

эффективщина зато!

плюс не пойман - не вор.