антоха 55 Posted 2011-12-13 11:02:09 Share Posted 2011-12-13 11:02:09 Привет многоуважаемый ALL. Есть на работе сервер под дебианом 5-м, два канала инета, подскажите можно ли как-то закрыть доступ на на одном из каналов (к примеру eth0) или сделать редирект социальных сетей типа одноклассников и вконтакте на наш сайт организации? Напрямую есть команды, чтобы без прокси? Link to post Share on other sites
cr0wn 48 Posted 2011-12-13 11:17:33 Share Posted 2011-12-13 11:17:33 Днс свой? Link to post Share on other sites
антоха 55 Posted 2011-12-13 12:34:44 Author Share Posted 2011-12-13 12:34:44 не, днс не свой может каждому через hosts или еще будут варианты? Link to post Share on other sites
Tux 24 Posted 2011-12-13 12:40:05 Share Posted 2011-12-13 12:40:05 вариант №1 - делать прозрачный прокси, и на нем все фильтровать. вариант №2 - поднимать свой днс сервер, поднимать необходимые зоны и резольвить все на нужный вам хост Link to post Share on other sites
loki 86 Posted 2011-12-13 12:42:49 Share Posted 2011-12-13 12:42:49 Squid + Squid Guard Rejik не подходит ? Link to post Share on other sites
cr0wn 48 Posted 2011-12-13 13:09:12 Share Posted 2011-12-13 13:09:12 Через фаерволл закрыть диапазоны апишек, соц сетей. Link to post Share on other sites
zaborovsky 359 Posted 2011-12-13 14:11:56 Share Posted 2011-12-13 14:11:56 Через фаерволл закрыть диапазоны апишек, соц сетей. ага, а перед тем как -- посмотреть, например, сюда (и походить по ссылкам) http://www.google.com.ua/#hl=ru&site=&q=%D0%B0%D0%B4%D0%BC%D0%B8%D0%BD+%D0%B7%D0%B0%D0%BA%D1%80%D1%8B%D0%BB+%D0%B2%D0%BA%D0%BE%D0%BD%D1%82%D0%B0%D0%BA%D1%82%D0%B5&oq=%D0%B0%D0%B4%D0%BC%D0%B8%D0%BD+%D0%B7%D0%B0%D0%BA%D1%80%D1%8B&aq=0&aqi=g8&aql=&gs_sm=e&gs_upl=2029l4318l0l5568l11l11l0l2l2l0l283l1711l0.6.3l9l0&bav=on.2,or.r_gc.r_pw.,cf.osb&fp=bbc51e93d43bd1c0&biw=1141&bih=701 Link to post Share on other sites
Mobil 66 Posted 2011-12-13 14:13:00 Share Posted 2011-12-13 14:13:00 Самый простой в таких случаях способ юзайте https://www.skydns.ru/ Link to post Share on other sites
zaborovsky 359 Posted 2011-12-13 14:15:45 Share Posted 2011-12-13 14:15:45 (edited) Привет многоуважаемый ALL. Есть на работе сервер под дебианом 5-м, два канала инета, подскажите можно ли как-то закрыть доступ на на одном из каналов (к примеру eth0) или сделать редирект социальных сетей типа одноклассников и вконтакте на наш сайт организации? Напрямую есть команды, чтобы без прокси? самый правильный вариант -- ничего не закрывать, а запретить (под роспись и ознакомление с приказом "в рабочее время не посещать сайты соц.медий") и ослушавшихся (таковые, естественно, найдутся после анализа логов доступа в инет) -- показательно наказать. Два-три таких наказанных собственным примером отобьют у остальных желание шляться в рабочее время где не следует (разумеется, нет ничего плохого в посещении оных сайтов в обеденное время или после окончания рабочего дня -- это нужно тоже учитывать) Edited 2011-12-13 14:16:38 by andytg Link to post Share on other sites
Serjio 19 Posted 2011-12-13 14:21:17 Share Posted 2011-12-13 14:21:17 iptables -I FORWARD -m string --string "vkontakte.ru" --algo kmp --to 65535 -j DROP Link to post Share on other sites
zaborovsky 359 Posted 2011-12-13 14:57:42 Share Posted 2011-12-13 14:57:42 iptables -I FORWARD -m string --string "vkontakte.ru" --algo kmp --to 65535 -j DROP там еще есть "vk.com" и куча сторонних проксей Link to post Share on other sites
антоха 55 Posted 2011-12-13 14:59:39 Author Share Posted 2011-12-13 14:59:39 iptables -I FORWARD -m string --string "vkontakte.ru" --algo kmp --to 65535 -j DROP спасибо большое, а что такое 65535? Link to post Share on other sites
антоха 55 Posted 2011-12-15 08:25:24 Author Share Posted 2011-12-15 08:25:24 ввел команду, все-равно заходит на сайт вконтакте может там интерфейс надо указать, для какого прописываю правило? Link to post Share on other sites
kvirtu 315 Posted 2011-12-15 08:30:24 Share Posted 2011-12-15 08:30:24 Подымай свой ДНС, ну и придеться все апйпишники Вконтактов резолвить. ввел команду, все-равно заходит на сайт вконтакте Обнови ДЕС-кеш на виндовозной машине Link to post Share on other sites
Serjio 19 Posted 2011-12-15 09:11:43 Share Posted 2011-12-15 09:11:43 может там интерфейс надо указать, для какого прописываю правило? Желательно указывать, при условии одного интерфейса это правило работает. Link to post Share on other sites
антоха 55 Posted 2011-12-21 14:08:17 Author Share Posted 2011-12-21 14:08:17 чтобы работал скайп и прочая хрень, оставляю доступ напрямую iptables -I FORWARD -s 192.168.2.24 -j ACCEPTiptables -I FORWARD -d 192.168.2.24 -j ACCEPT теперь нужно закрыть 80-ый порт и пусть они ходят в инет через прокси как правильно должна выглядеть команда для этого ip-адреса? Link to post Share on other sites
RVL 6 Posted 2011-12-21 14:27:42 Share Posted 2011-12-21 14:27:42 iptables -I FORWARD -m string --string "vkontakte.ru" --algo kmp --to 65535 -j DROP существенное снижение производительности роутера/шейпера гарантированно ! каждый пакет при этом проверяется на наличие строки. В итоге решили отказаться от подобного. Link to post Share on other sites
антоха 55 Posted 2011-12-21 14:34:16 Author Share Posted 2011-12-21 14:34:16 существенное снижение производительности роутера/шейпера гарантированно ! каждый пакет при этом проверяется на наличие строки. В итоге решили отказаться от подобного. а что сейчас применяете? Link to post Share on other sites
Sergek 123 Posted 2011-12-21 14:34:56 Share Posted 2011-12-21 14:34:56 https://www.skydns.ru/ Link to post Share on other sites
aike 60 Posted 2011-12-21 14:38:23 Share Posted 2011-12-21 14:38:23 https://www.skydns.ru/ А если "Opera Turbo" включена? Или проксик? Или голодный до развлечений юзер забьет 8.8.8.8 в днс Link to post Share on other sites
Sergek 123 Posted 2011-12-21 14:59:46 Share Posted 2011-12-21 14:59:46 Обоприте свой днс на этот, заболчить весь ДНС трафик кроме вашего ДНСа. А если клиент поднимет ВПН? Link to post Share on other sites
Lambert 5 Posted 2011-12-21 19:47:39 Share Posted 2011-12-21 19:47:39 А если клиент поднимет ВПН? А кто ж ему даст? порты наружу закрыть все, кроме тех что действительно нужны разрешить клиентам опираться только на свой днс, где прописать вражеские зоны замыканием на себя в общем-то ничего сложного как будто бы.. если это делать глобально для всех аплинков ежели для одного... ну повдумчивей наверное надо. Но я бы закрыл оба. Соцсети - зло Link to post Share on other sites
laffytaffy 84 Posted 2011-12-21 19:59:57 Share Posted 2011-12-21 19:59:57 Соцсети - зло БаЦька - это ты? ))))) Link to post Share on other sites
Ромка 565 Posted 2011-12-21 20:00:16 Share Posted 2011-12-21 20:00:16 Привет многоуважаемый ALL. Есть на работе сервер под дебианом 5-м, два канала инета, подскажите можно ли как-то закрыть доступ на на одном из каналов (к примеру eth0) или сделать редирект социальных сетей типа одноклассников и вконтакте на наш сайт организации? Напрямую есть команды, чтобы без прокси? самый правильный вариант -- ничего не закрывать, а запретить (под роспись и ознакомление с приказом "в рабочее время не посещать сайты соц.медий") и ослушавшихся (таковые, естественно, найдутся после анализа логов доступа в инет) -- показательно наказать. Два-три таких наказанных собственным примером отобьют у остальных желание шляться в рабочее время где не следует (разумеется, нет ничего плохого в посещении оных сайтов в обеденное время или после окончания рабочего дня -- это нужно тоже учитывать) После первого же анализа логов придется наказать всех, т. к. на очень многих сайтах есть "кнопки" типа залогиниццо через вконтакт или "мне нравится"... ПС: Режем прозрачным проксиком на микротике. Link to post Share on other sites
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now