Ограничить потоковое видео

randreevich

Привет.
Подскажите как ограничить потоковое видео, например?
В наличии Squid+SquidGuard
Через Regular Expression?

werter

Добрый
@randreevich

Поглядите тут http://squid-web-proxy-cache.1019090.n4.nabble.com/Limit-Bandwith-for-youtube-td4679182.html
Не уверен, что это возможно - тысячи адресов, quic-протокол etc. Вам легче зарубить сервисы потокового видео - PfblockerNG в помощь.

Konstanti

@randreevich
Здр
а что значит - ограничить ?
и о каких сервисах идет речь ?

randreevich

@konstanti
что бы видео не показывалось.
Ютуб, сайты с фильмами, сериалами и т.д.

Konstanti

@randreevich
Так самый простой вариант блокировать такие сайты на уровне DNS запроса

randreevich

@konstanti
Нужно блокировать не всем, а выборочно.

Konstanti

@randreevich
Ясно . Скажу честно , не знаю , можно ли такое сделать стандартными средствами PF . Но для решения похожей задачи мне пришлось писать некий модуль , который перехватывал все dns ответы на уровне ядра , и если этот ответ соответствует определенному шаблону ( например , Netflix , HBO и тд и тп ) , то ip адреса из этих ответов модуль вносит в определенные таблицы , с которыми уже можно работать на уровне PF.

Вот , например, как это выглядит в журналах для шаблона nba

Nov 30 13:09:00 daemon started
  Found file /usr/local/tmp/dns_parser/db/netflix.db, restore table netflix_ip 
  Successfully restored 171 ip-addresses
  Found file /usr/local/tmp/dns_parser/db/nhl.db, restore table nhl_ip 
  Successfully restored 46 ip-addresses
  Found file /usr/local/tmp/dns_parser/db/ntvplus.db, restore table ntvplus_ip 
  Successfully restored 100 ip-addresses
  Found file /usr/local/tmp/dns_parser/db/hbo.db, restore table hbo_ip 
  Successfully restored 152 ip-addresses
  Found file /usr/local/tmp/dns_parser/db/mos.db, restore table mos_ip 
  Successfully restored 26 ip-addresses
  Found file /usr/local/tmp/dns_parser/db/molotov.db, restore table molotov_ip 
  Successfully restored 41 ip-addresses
  Found file /usr/local/tmp/dns_parser/db/youtube.db, restore table youtube_ip 
  Successfully restored 673 ip-addresses

Dec 15 19:39:12 Get DNS response for server: stats.nba.coM
  Alias name(CNAME):  stats.nba.com.edgekey.net
  Alias name(CNAME):  e8017.dsci.akamaiedge.net
  Domain name(ANAME):  e8017.dsci.akamaiedge.net
   IP address 104.85.35.220 will be added to table
  Total ip addresses to add 1, Succefully added 1 ip addresses  to table ntvplus_ip
    Check for matching ip-s addresses in the table netflix_ip
    No matches found
    Check for matching ip-s addresses in the table nhl_ip
    No matches found
    Check for matching ip-s addresses in the table hbo_ip
    No matches found
    Check for matching ip-s addresses in the table mos_ip
    No matches found
    Check for matching ip-s addresses in the table molotov_ip
    No matches found
    Check for matching ip-s addresses in the table youtube_ip
    No matches found

[2.4.4-RELEASE][admin@pfsense.org]/usr/local/tmp/dns_parser: pfctl -t ntvplus_ip -Ts | grep 104.85.35.220
   104.85.35.220
[2.4.4-RELEASE][admin@pfsense.org]/usr/local/tmp/dns_parser: 

viktor_g

@randreevich said in Ограничить потоковое видео:

@konstanti
Нужно блокировать не всем, а выборочно.

выборочная блокировка по DNS похоже будет в ближайших обновлениях pfBlockerNG, а пока можете поставить SquidGuard и блочить по категориям

randreevich

@viktor_g said in Ограничить потоковое видео:

pfBlockerNG

Lightsquid c pfBlockerNG не работает? Мне нужно еще статистику снимать.

werter

Добрый
@randreevich

AdGuard Home умеет ВЫБОРОЧНО блокировать https://github.com/AdguardTeam/AdGuardHome#comparison-pi-hole

Per-client (device) configuration

Описание (рус.) https://adguard.com/ru/blog/in-depth-review-adguard-home.html
Installing AdGuard Home on PFSense https://broadbandforum.co/t/205884/

werter

@randreevich

Lightsquid c pfBlockerNG не работает? Мне нужно еще статистику снимать.

Это как теплое и мягкое. Должно работать.

Зы. Хотите подробную и наглядную статистику - настраивайте связку pfsense + squid + ELK Stack. Ссылки по развертыванию я давал на этом форуме.

luha

@randreevich Посмотри проект OpenDNS от cisco. Там надо зарегистрировать бесплатный акк и в нём получишь и статистику и блокировку. Сами DNS прописываешь в настройках на интересующих устройствах и только они будут ограничиваться.

randreevich

@luha
Спасибо, циско смотрел, с ДНС много ручной работы, каждый сайт с видео не реально блокировать.
Нужно резать именно само видео, с возможностью разграничения - боссам "да", планктону "нет".

luha

@randreevich Там основное блокирование по категориям. Отмечаешь всё что про видео и готово. Потом в логах отлавливаешь и раскидываешь по категориям, плюс можно до 20 доменов (в бесплатной версии) блокировать вне категорий.

Если надо "элите" дать, а "остальным" нет, то в DHCP прописываешь DNS от opendns-а, все автоматом принимают. Избранным меняешь на ручные.

Суть в чём. В интернете всё завязано не на IP, а именно на DNS. Когда ты заходишь в youtube прокси гугла определяет на какой кластер тебя отправить в данный момент. Соответственно задачу твою можно решить только через манипуляции с DNS. PF сейчас это не может - остаются альтернативные варианты. Не нравится opendns - найди другой аналогичный, который понравится, но это так или иначе будет сервер DNS. Всё.

Konstanti

@luha
Есть у меня подозрение , что хотят "резать" видео на уровне приложения , а не хоста.
Мб ,правильнее всего, "планктону" порезать скорость доступа в инет через PF ? Или попробовать отключать воспроизведение видео в браузере ?

luha

@konstanti Подмена DNS хорошо себя показала в практике. Сервис opendns создан для решения этих задач, хотя ничего не мешает делать тоже самое на собственном сервере, но там уже и логи готовые и категории актуальные, лежит на блюдечке - бери и пользуйся. Удобно и на фирме ограничивать доступ к соц.сетям и видосикам и дома ребёнка контролировать тоже можно. Рекомендую.

Чтобы пользователи не могли помешать надо быть администратором, а они должны работать под обычными пользователями. DNS подменять можно как политиками, так и на роутере или сервере DHCP. В хроме и эдже отключить использование левого "безопасного" сервера DNS в настройках безопасности.

Konstanti

@luha
Если я прав , то подмена dns поможет отчасти в решении такой задачи .
Например , как заблокировать службу yandex эфир и при этом не заблокировать сам домен yandex.ru ?
Служба эта находится по адресу yandex.ru/efir .

luha

@konstanti Там в логах будут падать адреса доставки контента. Обычно это сами пользователи вычисляют и вносят в нужную категорию. Не сразу, но через некоторое время у всех кто её блокирует адреса доставщика контента будут красными. Чтобы ускорить можно временно закинуть в список на бан. Собственно в этом и плюс - сообщество регулирует себе фильтрацию. Работает. Кстати если внешний IP динамический надо поставить утилитку для автоматической актуализации!

Против сильно умных не поможет такая блокировка. Подтверждено "телеграм-ом". ;)

Konstanti

@luha
Возможно , что Вы и правы . Я бы лично поставил ограничение скорости . Мол , все работает , не моя вина , что так медленно

luha

@konstanti Ну... ограничение скорости это уж слишком радикально и огульно. Заплатить за машину, но налить только 100 грамм топлива, открутить ей колёса, руль и таким образом запретить водителю заезжать домой на обед. Мы же боремся за увеличение скорости доступа, таков наш путь. Ограничиваем пользователям возможность злоупотребять контентом и тем самым наносить вред паразитным трафиком в сети, плюс время тратят рабочее. Действуем прицельно. ;)