заблокировать vk.com через iptables

А проксю поставить?

ipset

И тебе надо фильтровать в цепочке Forward.

Всё будет тогда.

IPT -A FORWARD -s vk.com -j DROP

А без поднятия прокси есть варианты?

Насколько я понял из мануала по iptables, цепочка FORWARD используется для пересылаемого (транзитного) трафика. А если рубить сразу входящий INPUT и исходящий OUTPUT, то и транзитного не будет))

Или я что-то не так понял)

http://bgp.he.net/AS47541#_prefixes

http://bgp.he.net/AS47542#_prefixes

95.142.200.0/21

87.240.128.0/18

93.186.224.0/21

93.186.232.0/21

95.142.192.0/21

P.S.: не благодари

Нет, вы неправильно поняли. http://www.opennet.ru/docs/RUS/iptables/#TRAVERSINGGENERAL

От всяких hideme.in не спасет

http://www.opennet.ru/base/net/iptables_treasures.txt.html string?

iptables -A FORWARD -m string --string "vk.com" --algo kmp --to 65535 -j DROP

Да от этого дерьма и прокси не спасёт. :)

А вообще зачем закрывать vk? :) Лучше собирать статистику, и тупо наказывать/увольнять бездельников ярых.

То есть достаточно написать для блокирования подсетей Вконтакте вот такой код:

$IPT -A FORWARD -s 95.142.200.0/21 -j DROP
$IPT -A FORWARD -s 87.240.128.0/18 -j DROP
$IPT -A FORWARD -s 93.186.224.0/21 -j DROP
$IPT -A FORWARD -s 93.186.232.0/21 -j DROP
$IPT -A FORWARD -s 95.142.192.0/21 -j DROP

Правильный синтаксис?

Согласен, это самый действующий способ! Кто захочет и через анонимайзеры полезет и много чего еще придумает! Но некоторым и неработающего сайта будет достаточно)

Синтаксис правильный, но не оптимально...у тебя каждый пакет будет проходить по этим цепочкам. Почитай про ipset http://ipset.netfilter.org/ipset.man.html

Squid настрой как прозрачный прокси, и реж что угодно любым (из множества) удобным способом.

Так они через эти анонимайзеры тебе гавна в сеть принесут - ппц...

ИМХО делать так:

1. ставишь прозрачный прокси.

2. vnc на все машины

3. ставишь darkstat

Звонит начальник или забивается канал: выдираешь отчёты с прокси (любую веб морду ставишь).

Смотришь через darkstat общую статистку по хосту за месяц скажем: по всем портам и протоколам оно считает.

Тайно делаешь ряд скриншотов через vnc.

Представляешь отчёт начальству.

Профит.

И не нужно ничего блокировать и играть в господа бога.

Тайно делаешь ряд скриншотов

Все сюда, у нас тут коллаборационист

А прозрачный прокси это значит хорошо и честно?

Тайно - имеется в виду по служебке от начальника.

И вообще мне если честно вообще насрать чего там юзеры делают. Попросили - я предоставил нужную информацию.

На лоре всегда есть два вида решения:
- как ТС вообразил решение себе в фантазиях (aka велосипед)
- то, что ему нужно на самом деле

в данном случае трудно понять какой вариант какой, по-моему мнению ТС делает это больше с целью самообразования и практики, а не реально закрытия контакта, что целесообразнее делать административными, а не техническими способами

Полностью согласен.

По-этому и написал:

И не нужно ничего блокировать и играть в господа бога.

Ибо чувствую, что ерундой занимается ТС... :)

У нас админ на старом сервере поступал просто: статическая ARP-таблица и прозрачная прокся. После безобразий компьютер пользователя выкидывали из таблицы, занесение обратно осуществлялось через начальство с объяснительной.

Зачем по ip если iptables умеет по заголовкам?

Хотя присоединяюсь, прокси идеальное решение.

[хм][идея] Как банить соц сети не сипользуя ip и dns.

http://blog.vkusnoserver.ru/blokirovka-domena-v-iptables/
Я раньше :)

ололо. зато у меня ненадёжней и не зависит от домена

Таз, ты же в ДЦ работаешь, должен знать, что крупную контору типа ВК проще банить по AS, чем по сотне доменных имён типа vk.com, userapi.com etc

+1

Я думаю что не сработает, потому что происходит фильтрация пакетов, а в пакете указывается IP-адрес отправителя/получателя, а не URL.

Да. Помимо всех советов, данных тут, еще как вариант из проксей - Dansguardian. Легко настроить на фильтрацию контента так, что даже через анонимайзеры не пустит на соцсети и прочий нежелательный контент.

Использование iptables -m string в таких целях - злой костыль. Будет резать всё, где попадуться байтики «vk.com». А еще злее использовать его с ACCEPT (видел и такое).

то крупную контору типа ВК проще банить по AS

Покажи мне правило iptables, которым ты забанишь по AS.

+1

И ты тоже покажи.

Это не аска, а список подсетей.

Мы говорили о блокировке именно АС.

Весь в внимании.

Не придирайся.

Не придирайся.

Не неси чепухи и не буду ;)

В чём заключалась чепуха?

В чём заключалась чепуха?

В том, что ты не АС блокируешь, а список подсетей вк.

Я разве это утверждал?

Я разве это утверждал?

заблокировать vk.com через iptables (комментарий)

Неа, я лишь согласился с коллегой, что дропать на л3 проще, чем на л7.

как-то так:

ipset create vkontakte_as hash:ip
whois -h whois.ripe.net -- -i or AS47541 | grep '^route:'| awk {'print $2'} | xargs -L 1 ipset add vkontakte_as
whois -h whois.ripe.net -- -i or AS47542 | grep '^route:'| awk {'print $2'} | xargs -L 1 ipset add vkontakte_as
iptables -A FORWARD -p tcp --dport http -m set --match-set vkontakte_as dst -j DROP

Оформить в скрипт с проверкой уже добавленных диапазонов и пхнуть в крон. В качестве операндов — только AS, никаких списков из подсетей, значит я забанил у себя AS при помощи iptables.

Антон, спасибо за пример и поддержку.

Оформить в скрипт с проверкой уже добавленных диапазонов и пхнуть в крон. В качестве операндов — только AS, никаких списков из подсетей, значит я забанил у себя AS при помощи iptables.

Ололо, у тебя там все равно список подсетей. Каким раком ты пихаешь в иптейблс его - третий вопрос. Банишь ты все равно не по АС.

Банить по AS проще некуда. Только не в iptables, а на маршрутизаторах, получающих фулл-вью. :)

Отсюда вытекает: если есть с кем установить bgp сессию (у админа апстрима за пивной абонемент выпросить), можно и на своём линукс-роутере заблекхолить.

А можно вообще покрасить, а потом в iptables вырезать. Кстати, тот же самый админ тебе входящий и раскрасит при достаточной заинтересованности.

Банить по AS проще некуда. Только не в iptables, а на маршрутизаторах, получающих фулл-вью. :)

Именно. А речь шла об iptables ;)

Странно, а layer7 в наши дни depreciated? Никто не заикнулся даже.

Странно, а layer7 в наши дни depreciated?

Layer7 в наше время фильтруется на DPI коробках. :)

Таз, для браузера и файрвола конечного пользователя AS — всё равно набор IP-адресов, среди которых размещены определённые сервисы одной организации в интернет, а не то, что подразумевает BGP.

Так что хоть укакайся, но это бан доступа к указанной AS при помощи iptables.

Много можете админов местечковых провайдеров привести в пример, которые без ведома начальства будут проводить операции по BGP с физлицами без каких-либо письменных согласований и регламента?

BTW, tazhate, если я закажу самый дешёвый ВПС скажем на квартал в Смачносервер, в какое количество литро-долларов пива мне обойдётся такая дружеская услуга у админов?

Так что хоть укакайся, но это бан доступа к указанной AS при помощи iptables.

Это не мне укакиваться надо, а тебе идти и читать про то, что такое AS.

BTW, tazhate, если я закажу самый дешёвый ВПС скажем на квартал в Смачносервер, в какое количество литро-долларов пива мне обойдётся такая дружеская услуга у админов?

Совсем не понял вопроса. Ты имеешь ввиду скидку при заказе на квартал? Это лучше уточнить у саппорта на сайте.

нет, вот выше некто-кун утверждает, что без труда можно найти админа, который с первым встречным согласится за регулярное пивное вознаграждение BGP-сессию установить. У вас такое панибратство практикуется или нет? Серьёзная контора ведь, не шарашка.