Ограничение доступа к некоторым ресурсам

Административно. Пара публичных расстрелов с мордами на доске почета и удержанием из зарплаты.

Расширение string

Реализовано все на основе patch-o-matic, дополнение к iptables от Netfilter. Используем модуль string для достижения цели.

iptables -A FORWARD -m string --string «vkontakte.ru» --algo kmp --to 65535 -j DROP

типо этого

если набрать «vkontakte.ru» в поисковой строке гугла то тоже ничего не откроет

про -m string в курсе

но если это словосочетание втречается на стороннем сайте, то сайту тоже гайка?

Да, минусы данного способа в том что пользователи не смогут открыть страницы с упоминанием заблокированных ресурсов, прочитать почту например на майл ру если в ящике лежит письмо с сайта который был заблокирован вышеописанным способом…

squid3 - режет все что захотите, и по размеру файлов, и по расширению, и по url, и любое потоковое видео, и флеш-игрушки, правда юзеры могут использовать анонимайзеры для доступа куда хотят, выход один добавлять анонимайзеры в запрещенные url

ещё есть skydns.ru и аналоги, это ДНС которые позволяют блокировать контент, т.е. не будут резолвить сайт по доменному имени.
Как-то раз игрался с таким, но там требовалось либо указать статический ip либо доменное имя твоего шлюза(компа), да и ещё на бесплатном аккаунте реклама вываливалась

и по url

https, 443-й порт - либо https вообще не будет работать, либо разрешить в iptables, но тогда теряется весь смысл блокировки ресурса.

Как один из вариантов я вижу - заблочить скажем 80-й порт на squid, а 443-й заткнуть с помощью -m string, или банально порезать айпишники + порезать проксю (-m string proxy). Народ тут не шибко грамотный, может и прокатит.

dns менять на over 600-700 машинах не Ъ.

ну тут ещё идея пришла с DNS Ставишь свой днс и в нём заруливаешь заблокированные сайты на свой сайт либо 127.0.0.1

зачем на всех, я например пров и мне надо заблокировать экстримистские сайты, я ты так и сделал, на одном DNS заблочил бы эти сайты и уже этот DNS по DHCP буду выдавать клиентам

для squid можно задать свои DNS, опция dns_nameservers

в конфиге named'а прописываю зоны которые нужно заблокировать
zone «kavkaz.org» { type master; file «/etc/namedb/master/kavkaz.db»; };

а в файле /etc/namedb/master/kavkaz.db
загоняю на 1270.0.1
@ A 127.0.0.1
* A 127.0.0.1

Вариант с DNS не откидываю, но у нас альтернативный везде - восьмерки, так что бабка надвое сказала.

А, все, туплю, на счет кальмара понял.

и не надо откидывать
просто твой днс всё будет всё спрашивать у 8.8.8.8, но твои доменные зоны которые нужно заблокировать будет блочить.

как то так:
options {
forwarders { 8.8.8.8; }
}

Ок, допустим я заблочу vk на DNS, что мешает использовать пользователю:

1) сторонний DNS

2) прописать ручками в hosts.conf нужный айпишник?

Просто если такая песня веселая, мне проще щас собрать пакет (я ж гентушник, что мне та сборка?:-)) и поднять проксю с полноценным ssl. И резать как уже душе угодно.

Сеть доменная? Если да то ставишь сквид, раскидываешь его всем политиками, прямой доступ в инет отрубаешь. В сквиде уже всё режешь.

Далее создаешь свой CA, скармливаешь сертификат CA сквиду и он от его имени будет генерировать фейковые сертификаты для SSL сайтов.

Сам сертификат СА политиками раскидываешь по компам с наказом ему доверять.

http://wiki.squid-cache.org/Features/SslBump

AD? Нет, и в ближайшее время не предвидится к счастью.

1) как вариант заблочить порт DNS в нате
2) ничего не мешает, тогда только прокси, а там крути верти как хочу.

обойти всегда можно

у меня пров блочит в DNS
при пинге kavkaz.org пингуется 127,0,0,1
при запросе nsloocup kavkaz.org отдаёт 127,0,0,1
при запросе nsloocup kavkaz.org 8.8.8.8 отдаёт правильный ip который пингуется

у тебя в сети все такие башковитые что смогут поменять DNS или прописать в hosts? вот их можно предупредить а потом наказать

а резать ты сможешь и сайты и скорость и всё что хочешь + логирование посещённых ресурсов

Т.е. рабочая группа? Или воркстейшены все на линуксах? :)

а вот это уже решается описанным в первом ответе способом. проверено, работает.

и да, если инфраструктура православная (терм. сервер + клиенты), то что там юзеры «смогут» использовать? знаю, знаю...

<жыр>websense</жыр>

Да никакой рабочей группы. Организация достаточно большая, и оно как работает, так и работает. Когда только создавалась сеть, ни о каких AD и рабоичх группах не было и речи. Да, у соседнего отдела работы много - ограничений то у пользователей никаких. На виндах все, так как куча вендоспецифичного костляфого софта. Серваки - частично серверная винда, частично линуха (мои) и есть еще один сервак на фре - на нем DNS крутится и какие-то сервисы одного из подразделений нашей организации.

Я уже молчу что подсетей в нашей организации порядка 25 подсетей - наследие предидущего провайдера.

Вот такая вот костлявая сеть, приходится рулить в ней одним веб сервисом, собственно натом, и еще почту внутреннюю админить.

Я уже молчу про всякие управляшки с вланами)

Ах да, мое решение - собрал с ssl по этому ману сквид, настроил, щас запускать буду)

Мда, печалько.

Я бы в сеть с 50+ компами без политик и прочих плюшек по групповой управляемости из AD не лез бы вообще, это сущий ад :) А если юзеры - локальные админы, то это вообще абзац, превед вирусы стадом...

У тебя теперь браузеры у клиентов будут орать что сертификат поддельный, если им не подсунуть в доверенные свой корневик. А без AD это зае..шся делать.

Ну на счет вирусни - эпидемий нет, честно купленая корпоративная лицензия касперыча (ух и тормозит же он компы), плюс юзеры не шибко грамотные технически - жить можно.

Да оно выдает, что мол трабла с сертификатом. Читал на опеннете - вроде ж заводили проксирование с ssl. А на счет побегать - не задолбаюсь, если надо - отдел побегает, воткнет сертификат. У нас без AD каждый год эпопея с ключами каспера, да))

Да, я смотрю вы там любители тонких извращений :)

Без сертификата на компах юзеров никак, это получается атака man-in-the-middle и браузер об этом честно орёт.

Мы не любители. Я пришел - оно так и было)

Но сейчас думаю - а не нахрен ли, и запилить openldap или что там в качестве AD?

Но это уже другой вопрос.

Проста интересно какие ресурсы ты собрался блокировать если, что типа одноклассников или в контакте то указываешь список их сетей в iptables и адьёс. Но вот уже с миром тут сложней, народ пользуется почтой на mail.ru. Сам счас с этой проблемой мучаюсь ведь прозрачно завернуть https не льзя а если и можно то с извращением. тогда придётся явно указывать прокси в настройках клиентских кампов , но всё как то хотеться без это требухи.

В нормальной сети на шлюзе стоит DNS-прокси типа dnsmasq или же собственный DNS вообще. А все машины настроены на него. Тогда любые изменения настроек можно делать в одном месте, плюс создавать локальные домены.

Да, вконтакте и одноглазники. А чем например встроеная прокся в опере в виде турбы не обход правил iptables?

Мне кстати обещали помощь от опытного человека, имевшего опыт с подобным. Я сюда буду отписываться периодически об успехах.

У нас есть свой DNS:-) Только делали его нам сторонние люди (тот самый сервак на фре), а те кто сейчас им пользуются (админят) - просто пользуются. У меня к нему доступа нет и не предвидится. Как вариант я вижу поднять свой.

А ты трафик tcpdump смотрел так ли оно? Уж так сложислось что оперой не пользуюсь совсем да и кто мешает это проверить. Дел то 2 минуты. Ведь dns трафик не шифрованный если я не ошибаюсь что если применить правила тока на dns трафик

 iptables -A FORWARD -m string --string «vkontakte.ru» --algo kmp --to 65535 -j DROP 

Зачем опере делать DNS запросы? Не проще ли послать к своему прокси сразу запрос «дай мне страницу по адресу http://vk.com/" как делают все нормальные прокси? Ну это по логике. Так то как это там в реальности сделано смотреть надо.

Плюсую предыдущего товарища KivApple. Однажды возникла такая задача и как раз перед выпуском из университета успел настроить шлюз на debian - squid3(непрозрачно)+bind9. Для блокировки пользовал blacklists и iptables. Клиенты получали настройки через WPAD(DNS). Там же, для подсетей, был заблокирован доступ к серверам обновления касперского, а клиенты настроены для обновления с нашего сервера.

Тоже логично надо пробывать. А если заблокировать те самые прокся

Ведь dns трафик не шифрованный если я не ошибаюсь что если применить правила тока на dns трафик

я по опыту знаю, что если хомячкам порезать DNS, то на следующий день они узнают про http://87.240.156.161

Но вот уже с миром тут сложней, народ пользуется почтой на mail.ru.

почему не поднять свой сервак для почты?

Да собственно и крутится. Только как я понимаю некоторые используют дополнительно ящики для общения с внешним миром. Недавно сталкивался - тетка начальница, внутренняя почта сравнительно недавно (может года 2-2.5), а пользуется маилрушным ящиком для переписки со всякими там министерствами, казначейчтвами, и прочими гос. структурами.

Есть всегда свои сложности.

Ну рассмешил. Так блокировать днс + ip, что та типа «вили кого китайского фаервола»

Только как я понимаю некоторые используют дополнительно ящики для общения с внешним миром.

ну порежь mail.ru по всем портам кроме 25 и 110, и почта останется для этой тёти. Хотя если честно, я не понимаю, какая ей разница?

Ну рассмешил. Так блокировать днс + ip, что та типа «вили кого китайского фаервола»

что тут «смешного»? Хомячки действительно эту фишку просекают мгновенно. И ТП и ГК.

Нынче офисный планктон умнеет с каждым днём,надо своим устроить проверку и проверить кто быстрей сообразят, раньше двигатель прогресса была лень а теперь социальные сети :).

Нынче офисный планктон умнеет с каждым днём

не. 10 лет назад они уже были в курсе.

надо своим устроить проверку

устрой. Я такие проверки лет 10 назад устраивал, и был сильно удивлён скоростью «взлома защиты». Как оно сейчас — без понятия.

как вы осуществляете блокировку «плохих» ресурсов?

dnsmasq решает