антоха 55 Опубликовано: 2011-12-13 11:02:09 Share Опубликовано: 2011-12-13 11:02:09 Привет многоуважаемый ALL. Есть на работе сервер под дебианом 5-м, два канала инета, подскажите можно ли как-то закрыть доступ на на одном из каналов (к примеру eth0) или сделать редирект социальных сетей типа одноклассников и вконтакте на наш сайт организации? Напрямую есть команды, чтобы без прокси? Ссылка на сообщение Поделиться на других сайтах
cr0wn 48 Опубліковано: 2011-12-13 11:17:33 Share Опубліковано: 2011-12-13 11:17:33 Днс свой? Ссылка на сообщение Поделиться на других сайтах
антоха 55 Опубліковано: 2011-12-13 12:34:44 Автор Share Опубліковано: 2011-12-13 12:34:44 не, днс не свой может каждому через hosts или еще будут варианты? Ссылка на сообщение Поделиться на других сайтах
Tux 24 Опубліковано: 2011-12-13 12:40:05 Share Опубліковано: 2011-12-13 12:40:05 вариант №1 - делать прозрачный прокси, и на нем все фильтровать. вариант №2 - поднимать свой днс сервер, поднимать необходимые зоны и резольвить все на нужный вам хост Ссылка на сообщение Поделиться на других сайтах
loki 86 Опубліковано: 2011-12-13 12:42:49 Share Опубліковано: 2011-12-13 12:42:49 Squid + Squid Guard Rejik не подходит ? Ссылка на сообщение Поделиться на других сайтах
cr0wn 48 Опубліковано: 2011-12-13 13:09:12 Share Опубліковано: 2011-12-13 13:09:12 Через фаерволл закрыть диапазоны апишек, соц сетей. Ссылка на сообщение Поделиться на других сайтах
zaborovsky 359 Опубліковано: 2011-12-13 14:11:56 Share Опубліковано: 2011-12-13 14:11:56 В 13.12.2011 в 13:09, cr0wn сказав: Через фаерволл закрыть диапазоны апишек, соц сетей. ага, а перед тем как -- посмотреть, например, сюда (и походить по ссылкам) http://www.google.com.ua/#hl=ru&site=&q=%D0%B0%D0%B4%D0%BC%D0%B8%D0%BD+%D0%B7%D0%B0%D0%BA%D1%80%D1%8B%D0%BB+%D0%B2%D0%BA%D0%BE%D0%BD%D1%82%D0%B0%D0%BA%D1%82%D0%B5&oq=%D0%B0%D0%B4%D0%BC%D0%B8%D0%BD+%D0%B7%D0%B0%D0%BA%D1%80%D1%8B&aq=0&aqi=g8&aql=&gs_sm=e&gs_upl=2029l4318l0l5568l11l11l0l2l2l0l283l1711l0.6.3l9l0&bav=on.2,or.r_gc.r_pw.,cf.osb&fp=bbc51e93d43bd1c0&biw=1141&bih=701 Ссылка на сообщение Поделиться на других сайтах
Mobil 68 Опубліковано: 2011-12-13 14:13:00 Share Опубліковано: 2011-12-13 14:13:00 Самый простой в таких случаях способ юзайте https://www.skydns.ru/ Ссылка на сообщение Поделиться на других сайтах
zaborovsky 359 Опубліковано: 2011-12-13 14:15:45 Share Опубліковано: 2011-12-13 14:15:45 (відредаговано) В 13.12.2011 в 11:02, антоха сказав: Привет многоуважаемый ALL. Есть на работе сервер под дебианом 5-м, два канала инета, подскажите можно ли как-то закрыть доступ на на одном из каналов (к примеру eth0) или сделать редирект социальных сетей типа одноклассников и вконтакте на наш сайт организации? Напрямую есть команды, чтобы без прокси? самый правильный вариант -- ничего не закрывать, а запретить (под роспись и ознакомление с приказом "в рабочее время не посещать сайты соц.медий") и ослушавшихся (таковые, естественно, найдутся после анализа логов доступа в инет) -- показательно наказать. Два-три таких наказанных собственным примером отобьют у остальных желание шляться в рабочее время где не следует (разумеется, нет ничего плохого в посещении оных сайтов в обеденное время или после окончания рабочего дня -- это нужно тоже учитывать) Відредаговано 2011-12-13 14:16:38 andytg Ссылка на сообщение Поделиться на других сайтах
Serjio 19 Опубліковано: 2011-12-13 14:21:17 Share Опубліковано: 2011-12-13 14:21:17 iptables -I FORWARD -m string --string "vkontakte.ru" --algo kmp --to 65535 -j DROP Ссылка на сообщение Поделиться на других сайтах
zaborovsky 359 Опубліковано: 2011-12-13 14:57:42 Share Опубліковано: 2011-12-13 14:57:42 В 13.12.2011 в 14:21, Serjio сказав: iptables -I FORWARD -m string --string "vkontakte.ru" --algo kmp --to 65535 -j DROP там еще есть "vk.com" и куча сторонних проксей Ссылка на сообщение Поделиться на других сайтах
антоха 55 Опубліковано: 2011-12-13 14:59:39 Автор Share Опубліковано: 2011-12-13 14:59:39 В 13.12.2011 в 14:21, Serjio сказав: iptables -I FORWARD -m string --string "vkontakte.ru" --algo kmp --to 65535 -j DROP спасибо большое, а что такое 65535? Ссылка на сообщение Поделиться на других сайтах
антоха 55 Опубліковано: 2011-12-15 08:25:24 Автор Share Опубліковано: 2011-12-15 08:25:24 ввел команду, все-равно заходит на сайт вконтакте может там интерфейс надо указать, для какого прописываю правило? Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2011-12-15 08:30:24 Share Опубліковано: 2011-12-15 08:30:24 Подымай свой ДНС, ну и придеться все апйпишники Вконтактов резолвить. В 15.12.2011 в 08:25, антоха сказав: ввел команду, все-равно заходит на сайт вконтакте Обнови ДЕС-кеш на виндовозной машине Ссылка на сообщение Поделиться на других сайтах
Serjio 19 Опубліковано: 2011-12-15 09:11:43 Share Опубліковано: 2011-12-15 09:11:43 В 15.12.2011 в 08:25, антоха сказав: может там интерфейс надо указать, для какого прописываю правило? Желательно указывать, при условии одного интерфейса это правило работает. Ссылка на сообщение Поделиться на других сайтах
антоха 55 Опубліковано: 2011-12-21 14:08:17 Автор Share Опубліковано: 2011-12-21 14:08:17 чтобы работал скайп и прочая хрень, оставляю доступ напрямую Цитата iptables -I FORWARD -s 192.168.2.24 -j ACCEPTiptables -I FORWARD -d 192.168.2.24 -j ACCEPT теперь нужно закрыть 80-ый порт и пусть они ходят в инет через прокси как правильно должна выглядеть команда для этого ip-адреса? Ссылка на сообщение Поделиться на других сайтах
RVL 6 Опубліковано: 2011-12-21 14:27:42 Share Опубліковано: 2011-12-21 14:27:42 В 13.12.2011 в 14:21, Serjio сказав: iptables -I FORWARD -m string --string "vkontakte.ru" --algo kmp --to 65535 -j DROP существенное снижение производительности роутера/шейпера гарантированно ! каждый пакет при этом проверяется на наличие строки. В итоге решили отказаться от подобного. Ссылка на сообщение Поделиться на других сайтах
антоха 55 Опубліковано: 2011-12-21 14:34:16 Автор Share Опубліковано: 2011-12-21 14:34:16 В 21.12.2011 в 14:27, RVL сказав: существенное снижение производительности роутера/шейпера гарантированно ! каждый пакет при этом проверяется на наличие строки. В итоге решили отказаться от подобного. а что сейчас применяете? Ссылка на сообщение Поделиться на других сайтах
Sergek 123 Опубліковано: 2011-12-21 14:34:56 Share Опубліковано: 2011-12-21 14:34:56 https://www.skydns.ru/ Ссылка на сообщение Поделиться на других сайтах
aike 60 Опубліковано: 2011-12-21 14:38:23 Share Опубліковано: 2011-12-21 14:38:23 В 21.12.2011 в 14:34, Sergek сказав: https://www.skydns.ru/ А если "Opera Turbo" включена? Или проксик? Или голодный до развлечений юзер забьет 8.8.8.8 в днс Ссылка на сообщение Поделиться на других сайтах
Sergek 123 Опубліковано: 2011-12-21 14:59:46 Share Опубліковано: 2011-12-21 14:59:46 Обоприте свой днс на этот, заболчить весь ДНС трафик кроме вашего ДНСа. А если клиент поднимет ВПН? Ссылка на сообщение Поделиться на других сайтах
Lambert 5 Опубліковано: 2011-12-21 19:47:39 Share Опубліковано: 2011-12-21 19:47:39 В 21.12.2011 в 14:59, Sergek сказав: А если клиент поднимет ВПН? А кто ж ему даст? порты наружу закрыть все, кроме тех что действительно нужны разрешить клиентам опираться только на свой днс, где прописать вражеские зоны замыканием на себя в общем-то ничего сложного как будто бы.. если это делать глобально для всех аплинков ежели для одного... ну повдумчивей наверное надо. Но я бы закрыл оба. Соцсети - зло Ссылка на сообщение Поделиться на других сайтах
laffytaffy 84 Опубліковано: 2011-12-21 19:59:57 Share Опубліковано: 2011-12-21 19:59:57 В 21.12.2011 в 19:47, Lambert сказав: Соцсети - зло БаЦька - это ты? ))))) Ссылка на сообщение Поделиться на других сайтах
Ромка 567 Опубліковано: 2011-12-21 20:00:16 Share Опубліковано: 2011-12-21 20:00:16 В 13.12.2011 в 14:15, andytg сказав: В 13.12.2011 в 11:02, антоха сказав: Привет многоуважаемый ALL. Есть на работе сервер под дебианом 5-м, два канала инета, подскажите можно ли как-то закрыть доступ на на одном из каналов (к примеру eth0) или сделать редирект социальных сетей типа одноклассников и вконтакте на наш сайт организации? Напрямую есть команды, чтобы без прокси? самый правильный вариант -- ничего не закрывать, а запретить (под роспись и ознакомление с приказом "в рабочее время не посещать сайты соц.медий") и ослушавшихся (таковые, естественно, найдутся после анализа логов доступа в инет) -- показательно наказать. Два-три таких наказанных собственным примером отобьют у остальных желание шляться в рабочее время где не следует (разумеется, нет ничего плохого в посещении оных сайтов в обеденное время или после окончания рабочего дня -- это нужно тоже учитывать) После первого же анализа логов придется наказать всех, т. к. на очень многих сайтах есть "кнопки" типа залогиниццо через вконтакт или "мне нравится"... ПС: Режем прозрачным проксиком на микротике. Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас