блокировка социальных сетей

[tv.vldmr]

Еще раз Здрасте!

Встал вопрос блокировки социальных сетей ...начиная от facebook, odnoklassniki, vkontakte etc.

Вопрос такой:

есть ли где-то обновляемый список ИП каждой из социалок? Просто блочить AS PI как-то не охото, потому как попадают под это дело и совсем мирные сайты....

Гуру, Вы уже сталкивались с этим, может чего-нить порекомендуете?
Сейчас на сервере стоит Фря + pf ... пользователи чисто НАТятся, занялся вот политикой разграничений прав и шейпинг канала еще предстоит... на локальный (по стране) и внешний. Но пока вопрос о блокировки социальных сетей.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[hizel]

хз, завернуть трафик на эти блоки PI в squid и резать

[tv.vldmr]

Я еще подумываю может поднять локальный ДНС, завести там зону odnoklassniki.ru и других соц. сетей и просто направлять на локальный ИП
+ сделать какой-то скриптег, который будет через dig парсить айпишки и закидывать в текстовый файл, который уже будет привязан к pf и блочиться.
разве что так... пока еще думаю, может мой вариант на мысль какую-то навел...

[hizel]

вполне вариант, если есть возможность запретить любые другой ДНС трафик

[tv.vldmr]

Есть, благо у нас dhcp, просто поставлю локальные днс в него и всё.
Это облегчает вариант, не надо ходит к каждому компу)

может еще какие-то варианты?

[schizoid]

блочить по ИПам запарился, ибо у тех же одноклассников этих ипов дофига.
для этой цели поставил прозрачный сквид + rejik

сейчас второй гловняк, они ж научились искать всякие прокси...
переодически просматриваю логи генерируемые sarg-ем и добавляю в список блокируюемых сайтов.

[tv.vldmr]

блочить по ИПам запарился, ибо у тех же одноклассников этих ипов дофига.
для этой цели поставил прозрачный сквид + rejik

сейчас второй гловняк, они ж научились искать всякие прокси..
переодически просматриваю логи генерируемые sarg-ем и добавляю в список блокируюемых сайтов.

т.е. вариант со скриптом, который будет вытаскивать автоматом ИП (dig или host) и складывать их в файлик откуда уже фаер блочить будет конкретные ИП + ДНС записи данных доменов зарулить на локалхост - не канает воообще ? или такую связку не использовали?

[schizoid]

ну писать скрипт или строку вида:

Код: Выделить всё

odnoklassniki.ru                                                                                                                                                                             
vkontakte.ru 

+ если взять листы режика порежете до кучи еще и много порно сайтов и т.д.

Код: Выделить всё

social - 4586 urls
chats - 1743 urls
online-game - 14719 urls
porno - 391445 urls
virus-detect - 461 urls
web-proxy - 1917 urls

не считая регулярных выражений...

[ivan__]

Как вариант можно отредактировать hosts чтобы этим сайтам другой ип назначался.
Чтоб аномайзерами не пользовались можно rejik настроить чтобы резал все url которые содержат название сайтов.

[tv.vldmr]

Как вариант можно отредактировать hosts чтобы этим сайтам другой ип назначался.
Чтоб аномайзерами не пользовались можно rejik настроить чтобы резал все url которые содержат название сайтов.

чтобы править хостс, придется обходить все компы + у нас к сожалению нет строгой политики по локальному использованию компов, т.е. все под админами сидят А начальство тормошить по этому поводу смысла нет, оно более лояльное по этому вопросу.

[tv.vldmr]

ну писать скрипт или строку вида:

Код: Выделить всё

odnoklassniki.ru                                                                                                                                                                             
vkontakte.ru 

+ если взять листы режика порежете до кучи еще и много порно сайтов и т.д.

Код: Выделить всё

social - 4586 urls
chats - 1743 urls
online-game - 14719 urls
porno - 391445 urls
virus-detect - 461 urls
web-proxy - 1917 urls

не считая регулярных выражений...

По поводу листов от режика - спасибо! Идея хорошая, кста они обновляются как-то ...можно их автоматом стягивать?

[ivan__]

Как вариант можно отредактировать hosts чтобы этим сайтам другой ип назначался.
Чтоб аномайзерами не пользовались можно rejik настроить чтобы резал все url которые содержат название сайтов.

чтобы править хостс, придется обходить все компы + у нас к сожалению нет строгой политики по локальному использованию компов, т.е. все под админами сидят А начальство тормошить по этому поводу смысла нет, оно более лояльное по этому вопросу.

а на серваке изменить?

[tv.vldmr]

Как вариант можно отредактировать hosts чтобы этим сайтам другой ип назначался.
Чтоб аномайзерами не пользовались можно rejik настроить чтобы резал все url которые содержат название сайтов.

чтобы править хостс, придется обходить все компы + у нас к сожалению нет строгой политики по локальному использованию компов, т.е. все под админами сидят А начальство тормошить по этому поводу смысла нет, оно более лояльное по этому вопросу.

а на серваке изменить?

ну-с для этого и думаю поднять локальный DNS и закрутить домены на определенную страницу на локальном веб-сервере. Если Вы это имели в виду, то эти действия предполагал сделать...вверху там описывал

[schizoid]

Как вариант можно отредактировать hosts чтобы этим сайтам другой ип назначался.

а вы сделайте

Код: Выделить всё

nslookup odnoklassniki.ru
nslookup www.odnoklassniki.ru
nslookup wg1.odnoklassniki.ru
nslookup wg2.odnoklassniki.ru
...

запаритесь прописывать в хосты

Чтоб аномайзерами не пользовались можно rejik настроить чтобы резал все url которые содержат название сайтов.

а в урлах название сайтов и не просккивает кстати

[Raven2000]

Код: Выделить всё

# cd /usr/local/etc/squid/
# cat denied_ext.conf
www.sex.com
www.tetki.ru
www.soska.ru
www.porewo.com
www.overkings.ru
odnoklassniki.ru

# cat squid.conf | grep deni
acl    denied_sites    dstdomain       "/usr/local/etc/squid/denied_ext.conf"
http_access    deny    denied_sites

?

[tv.vldmr]

Код: Выделить всё

# cd /usr/local/etc/squid/
# cat denied_ext.conf
www.sex.com
www.tetki.ru
www.soska.ru
www.porewo.com
www.overkings.ru
odnoklassniki.ru

# cat squid.conf | grep deni
acl    denied_sites    dstdomain       "/usr/local/etc/squid/denied_ext.conf"
http_access    deny    denied_sites

?

Это Шизоиду или мне ?

[Raven2000]

Шизоиду раз он начал в скрипты углублятся.

[ivan__]

ну-с для этого и думаю поднять локальный DNS и закрутить домены на определенную страницу на локальном веб-сервере. Если Вы это имели в виду, то эти действия предполагал сделать...вверху там описывал

Я имею ввиду hosts на сервере через который проходят DNS запросы

Код: Выделить всё

#cat /etc/hosts
127.0.0.1               localhost
127.0.0.1               vkontakte.ru
127.0.0.1               facebook.ru
127.0.0.1               odnoklassniki.ru

И хоть сто ip-шников будет для одного сайта, они всегда будут на указанный в hosts ip направляться (в данном примере на 127.0.0.1)

Как вариант можно отредактировать hosts чтобы этим сайтам другой ип назначался.

а вы сделайте

Код: Выделить всё

nslookup odnoklassniki.ru
nslookup www.odnoklassniki.ru
nslookup wg1.odnoklassniki.ru
nslookup wg2.odnoklassniki.ru
...

запаритесь прописывать в хосты

Код: Выделить всё

#dig odnoklassniki.ru | grep ^"[a-z]" | awk '{print $5}' >file.txt

Чтоб аномайзерами не пользовались можно rejik настроить чтобы резал все url которые содержат название сайтов.

а в урлах название сайтов и не просккивает кстати

Я имею ввиду что через аномайзеры все равно ссылка указывается типа такой luxproxy.ru/proxy/browse.php?u=http%3A%2F%2Fvkontakte.ru&b=0&f=norefer

[tv.vldmr]

ну-с для этого и думаю поднять локальный DNS и закрутить домены на определенную страницу на локальном веб-сервере. Если Вы это имели в виду, то эти действия предполагал сделать...вверху там описывал

Я имею ввиду hosts на сервере через который проходят DNS запросы

Код: Выделить всё

#cat /etc/hosts
127.0.0.1               localhost
127.0.0.1               vkontakte.ru
127.0.0.1               facebook.ru
127.0.0.1               odnoklassniki.ru

И хоть сто ip-шников будет для одного сайта, они всегда будут на указанный в hosts ip направляться (в данном примере на 127.0.0.1)

В чем разница будет между Вашим примером и моим вариантом, чтобы завести на локальном ДНС зоны с данными доменами и направить их на определенный внутренний ИП адрес веб-сервера с простой хтмлной страницой?

[ivan__]

В чем разница будет между Вашим примером и моим вариантом, чтобы завести на локальном ДНС зоны с данными доменами и направить их на определенный внутренний ИП адрес веб-сервера с простой хтмлной страницой?

Да просто в этом случае DNS сервер не нужен. Если он уже есть то можно и его использовать.

[tv.vldmr]

В чем разница будет между Вашим примером и моим вариантом, чтобы завести на локальном ДНС зоны с данными доменами и направить их на определенный внутренний ИП адрес веб-сервера с простой хтмлной страницой?

Да просто в этом случае DNS сервер не нужен. Если он уже есть то можно и его использовать.

его нет и все днс запросы пользователей идут напрямую на днс сервера провайдера...

[ivan__]

Локальный DNS поднимите - будет быстрее и проще в настройке.

[tv.vldmr]

я тоже так подумал :-) поэтому изначально и планировал так сделать
смущали моментом с hosts)))

[ivan__]

я тоже так подумал :-) поэтому изначально и планировал так сделать
смущали моментом с hosts)))

Я подумал что просто не хочется лишние записи в dns добавлять и предложил hosts подправить, а оказалось что dns сервера и нету.
Остается еще вопрос с шибко умными юзерами не полезут ли они по ip или через аномайзеры?

[tv.vldmr]

Для этого в фаерволе буду блочить по IP каждую соц.сеть)
скриптик будет выдергивать их и скармливать PF