Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Layer7 и социальные сети

    Scheduled Pinned Locked Moved Russian
    33 Posts 7 Posters 9.2k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • werterW
      werter
      last edited by

      Думаю, что не выйдет. Анонимайзеры криптуют урл (и трафик) при запросе. Как вариант - блокировать дипазоны адресов соц. сетей - http://bgp.he.net/dns/vk.com#_ipinfo

      Самое простое - разрешать только те ресурсы, к-ые необходимы. Правда, это только в том случае, если их немного.
      Ну или только в обед, допустим, разрешать доступ в Интернет.

      Еще можно отслеживать адреса анонимайзеров и блокировать их. Однако это работа неблагодарная.

      P.s. Есть вариант использовать что-то типа Яндекс.ДНС, но с возможностью блокирования по категориям ресурсов (в т.ч. соц. сетей и анонимайзеров).

      1 Reply Last reply Reply Quote 0
      • G
        grommir
        last edited by

        Что-то я не понял. Как поможет от анонимайзеров поможет блокировка адресов вконтакта? А пускать в инет по белому списку не вариант - придется  только на этот список и работать. Да и организационно не реально.

        1 Reply Last reply Reply Quote 0
        • werterW
          werter
          last edited by

          @grommir:

          Что-то я не понял. Как поможет от анонимайзеров поможет блокировка адресов вконтакта? А пускать в инет по белому списку не вариант - придется  только на этот список и работать. Да и организационно не реально.

          Верно, не поможет. Это от прямого доступа.
          А как вы относитесь к тому, если пользователь дома поднимет OpenVPN или tinc и будет коннектиться к нему ? Вариантов обхода - оч. много.

          1 Reply Last reply Reply Quote 0
          • G
            grommir
            last edited by

            @werter:

            Верно, не поможет. Это от прямого доступа.
            А как вы относитесь к тому, если пользователь дома поднимет OpenVPN или tinc и будет коннектиться к нему ? Вариантов обхода - оч. много.

            Плохо отношусь. И буду пытаться блокировать (тем же layer7 скорее всего). Но это потом, а пока хочу прикрыть более очевидные для простого юзверя пути обхода.

            1 Reply Last reply Reply Quote 0
            • werterW
              werter
              last edited by

              1. Запретить использовать httpS. Открыть только необходимые ресурсы по https.
              2. Установить squid, lightsquid и мониторить периодически отчеты на предмет обращения к анонимайзерам. Блокировать доступ к анонимайзерам на основе этих отчетов. А лучше - отчет начальству об особо "умных" пользователях.

              Советую сразу занести известные анонимайзеры в списки блокировки. Это первые две-три страницы в гугле по запросу "анонимайзер"

              1 Reply Last reply Reply Quote 0
              • G
                grommir
                last edited by

                @werter:

                1. Запретить использовать httpS. Открыть только необходимые ресурсы по https.
                2. Установить squid, lightsquid и мониторить периодически отчеты на предмет обращения к анонимайзерам. Блокировать доступ к анонимайзерам на основе этих отчетов. А лучше - отчет начальству об особо "умных" пользователях.

                Советую сразу занести известные анонимайзеры в списки блокировки. Это первые две-три страницы в гугле по запросу "анонимайзер"

                1. Закрывать https и опять разбираться с белыми списками? Не вариант.
                2. Уже установлен squid+squidguard+shallalist - от анонимайзеров помогает мало. Опять таки возвращаться к копанию в логах сквида и составлению черных\белых списков не хочется. Все как раз затевалось, чтобы уйти от этого.

                1 Reply Last reply Reply Quote 0
                • werterW
                  werter
                  last edited by

                  Вам не угодишь. Дерзайте.

                  P.s. Лично мне помог LightSquid и хождение к начальству со списками. Или ищите (и платите) за dns-сервис, имеющий в своем наборе возможность блокирования ананонимайзеров.

                  1 Reply Last reply Reply Quote 0
                  • V
                    voffka_k
                    last edited by

                    использую для этих целей squid3-dev + squidGuard-squid3, настроен прозрачный прокси и проксирование HTTPs с подменой сертификатов. В squidGuard использую блэклист http://www.shallalist.de/Downloads/shallalist.tar.gz. Для бана соцсетей и анонимайзеров в этом блэклисте есть фильтры !blk_BL_anonvpn, !blk_BL_redirector, !blk_BL_socialnet, работают прекрасно. Лист !blk_BL_redirector был проверен на первой десятке выдачи гула по словам "анонимайзер" и "разблокировать вконтакте", в !blk_BL_socialnet есть все популярные соц сети. Все что надо блочится.

                    1 Reply Last reply Reply Quote 0
                    • G
                      grommir
                      last edited by

                      Так же, рекомендую настроить прямыми руками WPAD.

                      1 Reply Last reply Reply Quote 0
                      • Y
                        Yuri4
                        last edited by

                        Приветствую, проблемы с настройкой, по примеру сделал пат для соц сетей, когда добавляю в рулес, отваливается напрочь доступ в инет, думал может не так что сделал, решил попробовать на готовых шаблонах, так же отваливается доступ в инет, пробовал и лан и ван, что не так делаю?

                        1 Reply Last reply Reply Quote 0
                        • F
                          flagman
                          last edited by

                          Layer 7 не работает после версии 2.1.5. Отслеживаем решение вот здесь, по планам, перенесли на версию 2.3.х
                          https://redmine.pfsense.org/issues/4276

                          Проектирование СКС, СОТ, ОПС, АСКУЭ, АСУТП http://www.linkpro.pro

                          1 Reply Last reply Reply Quote 0
                          • Y
                            Yuri4
                            last edited by

                            печально..
                            а теперь теория, отключаю 443 порт, закрываются все хттпс, можно ли каким путем открыть только для маил.ру хттпс?
                            пусть почту хоть смотрят :)

                            1 Reply Last reply Reply Quote 0
                            • F
                              flagman
                              last edited by

                              Всем Привет! Как я понял основная задача блочить определенные https ресурсы без использования сертификатов и прокси…
                              Некоторое время назад пользовался Endi***FW, дак там на форуме вычитал что для блокировки некоторых хостов https, использовался фокус с DNS релеем чтоли, т.е. при обращении на адрес https://vk.com - создавали свое внутренне перенаправление внутрь своей сети на какой нить ip и все... Сам не пробовал, но отзывы говорили  о том что фокус работает...

                              Проектирование СКС, СОТ, ОПС, АСКУЭ, АСУТП http://www.linkpro.pro

                              1 Reply Last reply Reply Quote 0
                              • werterW
                                werter
                                last edited by

                                @Yuri4:

                                печально..
                                а теперь теория, отключаю 443 порт, закрываются все хттпс, можно ли каким путем открыть только для маил.ру хттпс?
                                пусть почту хоть смотрят :)

                                Да. Вписать адреса в исключения (Destination adresses) в настройках squid.

                                AS-ы mail.ru - http://bgp.he.net/dns/mail.ru#_ipinfo

                                1 Reply Last reply Reply Quote 0
                                • Y
                                  Yuri4
                                  last edited by

                                  получилось, но не сразу, на сайт мейла пустил, сам ящик открылся при добавлении адресов е.майл.ру , потом грузился интерфейс плохо, добавил по логам блокировки еще пару айпи, теперь все хорошо, если так добавлять необходимые сайты, не очень путь

                                  1 Reply Last reply Reply Quote 0
                                  • werterW
                                    werter
                                    last edited by

                                    @Yuri4:

                                    получилось, но не сразу, на сайт мейла пустил, сам ящик открылся при добавлении адресов е.майл.ру , потом грузился интерфейс плохо, добавил по логам блокировки еще пару айпи, теперь все хорошо, если так добавлять необходимые сайты, не очень путь

                                    Ссылку в моем предыдущем посте смотрели ? Покажите скрины настроек squid.

                                    1 Reply Last reply Reply Quote 0
                                    • Y
                                      Yuri4
                                      last edited by

                                      @werter:

                                      @Yuri4:

                                      получилось, но не сразу, на сайт мейла пустил, сам ящик открылся при добавлении адресов е.майл.ру , потом грузился интерфейс плохо, добавил по логам блокировки еще пару айпи, теперь все хорошо, если так добавлять необходимые сайты, не очень путь

                                      Ссылку в моем предыдущем посте смотрели ? Покажите скрины настроек squid.

                                      с AS не знаю что делать, пошел по пути - днслукап создал алиас с диапозоном ип, как пример e.mail.ru скрин, делал такое же для маил, яндекс переводчика, уже удалил, после в рулесах 443 порт для этого алиса разрешил.
                                      куда Аснку можно вписать чтобы получить доступ?

                                      11.JPG
                                      11.JPG_thumb

                                      1 Reply Last reply Reply Quote 0
                                      • werterW
                                        werter
                                        last edited by

                                        с AS не знаю что делать

                                        куда Аснку можно вписать чтобы получить доступ?

                                        Вписать адреса в исключения (Destination adr.) в настройках squid :

                                        217.69.128.0/20
                                        94.100.176.0/20

                                        P.s. http://linkmeup.ru/tag/сети%20для%20самых%20маленьких/ . Сам пользую.

                                        1 Reply Last reply Reply Quote 0
                                        • Y
                                          Yuri4
                                          last edited by

                                          может кому пригодится, сделал днслукап вк, получил адреса, из них алиас, создаю правило на этот алиас - блок, https://vk.com/ открывается, логин и логаут не дает сделать.

                                          1 Reply Last reply Reply Quote 0
                                          • S
                                            Scodezan
                                            last edited by

                                            @Yuri4:

                                            может кому пригодится, сделал днслукап вк, получил адреса, из них алиас, создаю правило на этот алиас - блок, https://vk.com/ открывается, логин и логаут не дает сделать.

                                            так то создавая алиас можно сразу забить туда vk.com и login.vk.com

                                            1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.