Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Ограничить потоковое видео

    Scheduled Pinned Locked Moved Russian
    20 Posts 5 Posters 938 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • R
      randreevich
      last edited by

      Привет.
      Подскажите как ограничить потоковое видео, например?
      В наличии Squid+SquidGuard
      Через Regular Expression?

      werterW K 2 Replies Last reply Reply Quote 0
      • werterW
        werter @randreevich
        last edited by

        Добрый
        @randreevich

        Поглядите тут http://squid-web-proxy-cache.1019090.n4.nabble.com/Limit-Bandwith-for-youtube-td4679182.html
        Не уверен, что это возможно - тысячи адресов, quic-протокол etc. Вам легче зарубить сервисы потокового видео - PfblockerNG в помощь.

        1 Reply Last reply Reply Quote 0
        • K
          Konstanti @randreevich
          last edited by

          @randreevich
          Здр
          а что значит - ограничить ?
          и о каких сервисах идет речь ?

          R 1 Reply Last reply Reply Quote 0
          • R
            randreevich @Konstanti
            last edited by randreevich

            @konstanti
            что бы видео не показывалось.
            Ютуб, сайты с фильмами, сериалами и т.д.

            K 1 Reply Last reply Reply Quote 0
            • K
              Konstanti @randreevich
              last edited by

              @randreevich
              Так самый простой вариант блокировать такие сайты на уровне DNS запроса

              R 1 Reply Last reply Reply Quote 0
              • R
                randreevich @Konstanti
                last edited by

                @konstanti
                Нужно блокировать не всем, а выборочно.

                K viktor_gV 2 Replies Last reply Reply Quote 0
                • K
                  Konstanti @randreevich
                  last edited by Konstanti

                  @randreevich
                  Ясно . Скажу честно , не знаю , можно ли такое сделать стандартными средствами PF . Но для решения похожей задачи мне пришлось писать некий модуль , который перехватывал все dns ответы на уровне ядра , и если этот ответ соответствует определенному шаблону ( например , Netflix , HBO и тд и тп ) , то ip адреса из этих ответов модуль вносит в определенные таблицы , с которыми уже можно работать на уровне PF.

                  Вот , например, как это выглядит в журналах для шаблона nba

                  Nov 30 13:09:00 daemon started
                    Found file /usr/local/tmp/dns_parser/db/netflix.db, restore table netflix_ip 
                    Successfully restored 171 ip-addresses
                    Found file /usr/local/tmp/dns_parser/db/nhl.db, restore table nhl_ip 
                    Successfully restored 46 ip-addresses
                    Found file /usr/local/tmp/dns_parser/db/ntvplus.db, restore table ntvplus_ip 
                    Successfully restored 100 ip-addresses
                    Found file /usr/local/tmp/dns_parser/db/hbo.db, restore table hbo_ip 
                    Successfully restored 152 ip-addresses
                    Found file /usr/local/tmp/dns_parser/db/mos.db, restore table mos_ip 
                    Successfully restored 26 ip-addresses
                    Found file /usr/local/tmp/dns_parser/db/molotov.db, restore table molotov_ip 
                    Successfully restored 41 ip-addresses
                    Found file /usr/local/tmp/dns_parser/db/youtube.db, restore table youtube_ip 
                    Successfully restored 673 ip-addresses
                  
                  Dec 15 19:39:12 Get DNS response for server: stats.nba.coM
                    Alias name(CNAME):  stats.nba.com.edgekey.net
                    Alias name(CNAME):  e8017.dsci.akamaiedge.net
                    Domain name(ANAME):  e8017.dsci.akamaiedge.net
                     IP address 104.85.35.220 will be added to table
                    Total ip addresses to add 1, Succefully added 1 ip addresses  to table ntvplus_ip
                      Check for matching ip-s addresses in the table netflix_ip
                      No matches found
                      Check for matching ip-s addresses in the table nhl_ip
                      No matches found
                      Check for matching ip-s addresses in the table hbo_ip
                      No matches found
                      Check for matching ip-s addresses in the table mos_ip
                      No matches found
                      Check for matching ip-s addresses in the table molotov_ip
                      No matches found
                      Check for matching ip-s addresses in the table youtube_ip
                      No matches found
                  
                  [2.4.4-RELEASE][admin@pfsense.org]/usr/local/tmp/dns_parser: pfctl -t ntvplus_ip -Ts | grep 104.85.35.220
                     104.85.35.220
                  [2.4.4-RELEASE][admin@pfsense.org]/usr/local/tmp/dns_parser: 
                  
                  1 Reply Last reply Reply Quote 0
                  • viktor_gV
                    viktor_g Netgate @randreevich
                    last edited by

                    @randreevich said in Ограничить потоковое видео:

                    @konstanti
                    Нужно блокировать не всем, а выборочно.

                    выборочная блокировка по DNS похоже будет в ближайших обновлениях pfBlockerNG, а пока можете поставить SquidGuard и блочить по категориям

                    R 1 Reply Last reply Reply Quote 0
                    • R
                      randreevich @viktor_g
                      last edited by

                      @viktor_g said in Ограничить потоковое видео:

                      pfBlockerNG

                      Lightsquid c pfBlockerNG не работает? Мне нужно еще статистику снимать.

                      werterW L 3 Replies Last reply Reply Quote 0
                      • werterW
                        werter @randreevich
                        last edited by

                        Добрый
                        @randreevich

                        AdGuard Home умеет ВЫБОРОЧНО блокировать https://github.com/AdguardTeam/AdGuardHome#comparison-pi-hole

                        Per-client (device) configuration

                        Описание (рус.) https://adguard.com/ru/blog/in-depth-review-adguard-home.html
                        Installing AdGuard Home on PFSense https://broadbandforum.co/t/205884/

                        1 Reply Last reply Reply Quote 0
                        • werterW
                          werter @randreevich
                          last edited by werter

                          @randreevich

                          Lightsquid c pfBlockerNG не работает? Мне нужно еще статистику снимать.

                          Это как теплое и мягкое. Должно работать.

                          Зы. Хотите подробную и наглядную статистику - настраивайте связку pfsense + squid + ELK Stack. Ссылки по развертыванию я давал на этом форуме.

                          1 Reply Last reply Reply Quote 1
                          • L
                            luha @randreevich
                            last edited by

                            @randreevich Посмотри проект OpenDNS от cisco. Там надо зарегистрировать бесплатный акк и в нём получишь и статистику и блокировку. Сами DNS прописываешь в настройках на интересующих устройствах и только они будут ограничиваться.

                            R 1 Reply Last reply Reply Quote 0
                            • R
                              randreevich @luha
                              last edited by

                              @luha
                              Спасибо, циско смотрел, с ДНС много ручной работы, каждый сайт с видео не реально блокировать.
                              Нужно резать именно само видео, с возможностью разграничения - боссам "да", планктону "нет".

                              L 1 Reply Last reply Reply Quote 0
                              • L
                                luha @randreevich
                                last edited by

                                @randreevich Там основное блокирование по категориям. Отмечаешь всё что про видео и готово. Потом в логах отлавливаешь и раскидываешь по категориям, плюс можно до 20 доменов (в бесплатной версии) блокировать вне категорий.

                                Если надо "элите" дать, а "остальным" нет, то в DHCP прописываешь DNS от opendns-а, все автоматом принимают. Избранным меняешь на ручные.

                                Суть в чём. В интернете всё завязано не на IP, а именно на DNS. Когда ты заходишь в youtube прокси гугла определяет на какой кластер тебя отправить в данный момент. Соответственно задачу твою можно решить только через манипуляции с DNS. PF сейчас это не может - остаются альтернативные варианты. Не нравится opendns - найди другой аналогичный, который понравится, но это так или иначе будет сервер DNS. Всё.

                                K 1 Reply Last reply Reply Quote 1
                                • K
                                  Konstanti @luha
                                  last edited by Konstanti

                                  @luha
                                  Есть у меня подозрение , что хотят "резать" видео на уровне приложения , а не хоста.
                                  Мб ,правильнее всего, "планктону" порезать скорость доступа в инет через PF ? Или попробовать отключать воспроизведение видео в браузере ?

                                  L 1 Reply Last reply Reply Quote 0
                                  • L
                                    luha @Konstanti
                                    last edited by

                                    @konstanti Подмена DNS хорошо себя показала в практике. Сервис opendns создан для решения этих задач, хотя ничего не мешает делать тоже самое на собственном сервере, но там уже и логи готовые и категории актуальные, лежит на блюдечке - бери и пользуйся. Удобно и на фирме ограничивать доступ к соц.сетям и видосикам и дома ребёнка контролировать тоже можно. Рекомендую.

                                    Чтобы пользователи не могли помешать надо быть администратором, а они должны работать под обычными пользователями. DNS подменять можно как политиками, так и на роутере или сервере DHCP. В хроме и эдже отключить использование левого "безопасного" сервера DNS в настройках безопасности.

                                    K 1 Reply Last reply Reply Quote 0
                                    • K
                                      Konstanti @luha
                                      last edited by

                                      @luha
                                      Если я прав , то подмена dns поможет отчасти в решении такой задачи .
                                      Например , как заблокировать службу yandex эфир и при этом не заблокировать сам домен yandex.ru ?
                                      Служба эта находится по адресу yandex.ru/efir .

                                      L 1 Reply Last reply Reply Quote 0
                                      • L
                                        luha @Konstanti
                                        last edited by

                                        @konstanti Там в логах будут падать адреса доставки контента. Обычно это сами пользователи вычисляют и вносят в нужную категорию. Не сразу, но через некоторое время у всех кто её блокирует адреса доставщика контента будут красными. Чтобы ускорить можно временно закинуть в список на бан. Собственно в этом и плюс - сообщество регулирует себе фильтрацию. Работает. Кстати если внешний IP динамический надо поставить утилитку для автоматической актуализации!

                                        Против сильно умных не поможет такая блокировка. Подтверждено "телеграм-ом". ;)

                                        K 1 Reply Last reply Reply Quote 0
                                        • K
                                          Konstanti @luha
                                          last edited by

                                          @luha
                                          Возможно , что Вы и правы . Я бы лично поставил ограничение скорости . Мол , все работает , не моя вина , что так медленно

                                          L 1 Reply Last reply Reply Quote 0
                                          • L
                                            luha @Konstanti
                                            last edited by

                                            @konstanti Ну... ограничение скорости это уж слишком радикально и огульно. Заплатить за машину, но налить только 100 грамм топлива, открутить ей колёса, руль и таким образом запретить водителю заезжать домой на обед. Мы же боремся за увеличение скорости доступа, таков наш путь. Ограничиваем пользователям возможность злоупотребять контентом и тем самым наносить вред паразитным трафиком в сети, плюс время тратят рабочее. Действуем прицельно. ;)

                                            1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.