Ubuntu-ru - Інтернет шлюз
| Classic | List | Threaded |
Інтернет шлюз. Закрити доступ до сайту
Re: Інтернет шлюз. Закрити доступ до сайту
якщо користувачі дубові, то легко заборони у своєму днс сервері резолв необхідних доменів.
Re: Інтернет шлюз. Закрити доступ до сайту
Re: Інтернет шлюз. Закрити доступ до сайту
Re: Інтернет шлюз. Закрити доступ до сайту
людина мабуть переплутала "не можуть" з "не вийде контролювати"
але знову ж таки для блокування сайту взагалі жодних перешкод немає
до речі не обов'язково для цього проксі, можна використовувати iptables
не знаю як в ubuntu, але в 17 федорі iptables у мене підтримував правила з DNS іменами.
iptables -A FORWARD -d odnoklassniki.ru -s $LANNETIP -p TCP --dport 80 -j DROP iptables -A FORWARD -d vk.ru -s $LANNETIP -p TCP --dport 80 - j DROP iptables -A FORWARD -d vk.com -s $LANNETIP -p TCP --dport 80 -j DROP iptables -A FORWARD -d vkontakte.ru -s $LANNETIP -p TCP --dport 80 -j DROP iptables -A FORWARD -d vkontakte.com -s $LANNETIP -p TCP --dport 80 -j DROP
у ubuntu треба перевіряти.
-- З Повагою, спеціаліст з технічного та програмного забезпечення, системний адміністратор
Україна, Ростовська область, м. Таганрог
тел. моб: +7 (918) 504 38 20 skype: v.skubriev icq: 214-800-502 www: skubriev.ru
Re: Інтернет шлюз. Закрити доступ до сайту
людина мабуть переплутала "не можуть" з "не вийде контролювати"
але знову ж таки для блокування сайту взагалі жодних перешкод немає
до речі не обов'язково для цього проксі, можна використовувати iptables
незнаю як в ubuntu, але в 17 федорі iptables у мене підтримував правила з іменами DNS.
iptables -A FORWARD -d odnoklassniki.ru -s $LANNETIP -p TCP -dport 80 -j DROP iptables -A FORWARD -d vk.ru -s $LANNETIP -p TCP -dport 80 -j DROP iptables -A FORWARD -d vk.com -s $LANNETIP -p TCP --dport 80 -j DROP iptables -A FORWARD -d vkontakte.ru -s $LANNETIP -p TCP --dport 80 -j DROP iptables -A FORWARD -d vkontakte.com -s $LANNETIP -p TCP --dport 80 -j DROP
у ubuntu треба перевіряти.
Re: Інтернет шлюз. Закрити доступ до сайту
людина мабуть переплутала "не можуть" з "не вийде контролювати"
але знову ж таки для блокування сайту взагалі жодних перешкод немає
до речі не обов'язково для цього проксі, можна використовувати iptables
не знаю як в ubuntu, але в 17 федорі iptables у мене підтримував правила з іменами DNS.
iptables -A FORWARD -d odnoklassniki.ru -s $LANNETIP -p TCP -dport 80 -j DROP iptables -A FORWARD -d vk.ru -s $LANNETIP -p TCP -dport 80 -j DROP iptables -A FORWARD -d vk.com -s $LANNETIP -p TCP --dport 80 -j DROP iptables -A FORWARD -d vkontakte.ru -s $LANNETIP -p TCP --dport 80 -j DROP iptables -A FORWARD -d vkontakte.com -s $LANNETIP -p TCP --dport 80 -j DROP
у ubuntu треба перевіряти.
-- З Повагою, спеціаліст з технічного та програмного забезпечення, системний адміністратор
Україна, Ростовська область, м. Таганрог
тел. моб: +7 (918) 504 38 20 skype: v.skubriev icq: 214-800-502 www: skubriev.ru
Re: Інтернет шлюз. Закрити доступ до сайту
я на сквіді ніколи не налаштовував pools, тобто. управління шириною каналу для користувачів тільки статистику робив - із цим проблем немає,прикрутити lightsquid - не складно
а ось ширина каналу на рівні "не проксі" – заняття не для новачків.
принаймні я вже 5 років про неї мрію, але поки ось всі спроби увінчувалися тим, що або не виходило або виходило але зовсім не те, що хотілося б )
взагалі я був не правий на рахунок не можуть контролювати. я чомусь зібрав все в купу а хотів сказати, що https не можна контролювати, ну тільки на рівні CONNECT'ів напевно.
Працювати https через проксі буде, ось прозорий -? Та подіє і так ні чого не заважатиме.
А man-in-the-middle для http - нісенітниця, абсолютно жодних загроз, т.к. все шифрується. Хоча ідеально HTTPS налаштувати не так вже й просто. Мається на увазі, що там багато своїх внутрішніх ньюансів - якими можна максимально все захистити.
-- З Повагою, спеціаліст з технічного та програмного забезпечення, системний адміністратор
Україна, Ростовська область, м. Таганрог
тел. моб: +7 (918) 504 38 20 skype: v.skubriev icq: 214-800-502 www: skubriev.ru
Re: Інтернет шлюз. Закрити доступ до сайту
Можна спробувати просто правило iptables заборонити IP-адресу для певних source і все.
Re: Інтернет шлюз. Закрити доступ до сайту
Щодо не можуть/не вдасться контролювати - сперечатися не буду, у мене великі прогалини у цих знаннях. Але пам'ятається, коли робив це востаннє - в режимі прозорого проксіювання https просто не працював, можливо, робив щось не так. Але почитавши форуми, знайшов пояснення, що це нормально, бо якби в режимі проксі працював https - то це вже "men in middle".
А щодо iptables – так, дякую за підказку. А що робити, якщо хочеться ще йстатистику, керування шириною каналу для користувачів і тд і тп, що дає проксі сервер?
я на сквіді ніколи не налаштовував pools, тобто. керування шириною каналу для користувачів тільки статистику робив - з цим проблем немає, прикрутити lightsquid - не складно
а ось ширина каналу на рівні "не проксі" – заняття не для новачків.
принаймні я вже 5 років про неї мрію, але поки що всі спроби увінчувалися тим, що або не виходило або виходило але зовсім не те, що хотілося б )
взагалі я був не правий на рахунок не можуть контролювати. я чомусь зібрав все в купу, а хотів сказати, що https не можна контролювати, ну тільки на рівні CONNECT'ів напевно.
Працювати https через проксі буде, ось прозорий -? Та подіє і так ні чого не заважатиме.
-- З Повагою, спеціаліст з технічного та програмного забезпечення, системний адміністратор
Україна, Ростовська область, м. Таганрог
тел. моб: +7 (918) 504 38 20 skype: v.skubriev icq: 214-800-502 www: skubriev.ru
Re: Інтернет шлюз. Закрити доступ до сайту
Щодо не можуть/не вдасться контролювати - сперечатися не буду, у мене великі прогалини у цих знаннях. Але пам'ятається, коли робив це востаннє - в режимі прозорого проксіювання https просто не працював, можливо, робив щось не так. Але почитавши форуми, знайшов пояснення, що це нормально, бо якби в режимі проксі працював https - то це вже "men in middle".
А щодо iptables – так, дякую за підказку. А що робити, якщо хочеться ще й статистику, керування шириною каналу для користувачів і тд і тп, що дає проксі сервер?
я на сквіді ніколи не налаштовував pools, тобто. керування шириною каналу для користувачів Тільки статистику робив - з цим проблем немає, прикрутити lightsquid - не складно
а ось ширина каналу на рівні "не проксі" – заняття не для новачків.
принаймні я вже 5 років про неї мрію, але поки що всі спроби увінчувалися тим, що або не виходило або виходило але зовсім не те, що хотілося б )
взагалі я був не правий на рахунок не можуть контролювати. я чомусь зібрав все в купу, а хотів сказати, що https не можна контролювати, ну тільки на рівні CONNECT'ів напевно.
Працювати https через проксі буде, ось прозорий -? Та подіє і так ні чого не заважатиме.
А man-in-the-middle для http - нісенітниця, абсолютно жодних загроз, т.к. все шифрується. Хоча ідеально HTTPS налаштувати не так вже й просто. Мається на увазі, що там багато своїх внутрішніх нюансів – якими можна максимально все захистити.
-- З Повагою, спеціаліст з технічного та програмного забезпечення, системний адміністратор
Україна, Ростовська область, м. Таганрог
Re: Інтернет шлюз. Закрити доступ до сайту
Щодо не можуть/не вдасться контролювати - сперечатися не буду, у мене великі прогалини у цих знаннях. Але пам'ятається, коли робив це востаннє - в режимі прозорого проксіювання https просто не працював, можливо, робив щось не так. Але почитавши форуми, знайшов пояснення, що це нормально, бо якби в режимі проксі працював https - то це вже "men in middle".
А щодо iptables – так, дякую за підказку. А що робити, якщо хочеться ще й статистику, керування шириною каналу для користувачів і тд і тп, що дає проксі сервер?
я на сквіді ніколи не налаштовував pools, тобто. управління шириною каналу для користувачів тільки статистику робив - з цим проблем немає,прикрутити lightsquid - не складно
а ось ширина каналу на рівні "не проксі" – заняття не для новачків.
принаймні я вже 5 років про неї мрію, але поки що всі спроби увінчувалися тим, що або не виходило або виходило але зовсім не те, що хотілося б )
взагалі я був не правий на рахунок не можуть контролювати. я чомусь зібрав все в купу, а хотів сказати, що https не можна контролювати, ну тільки на рівні CONNECT'ів напевно.
Працювати https через проксі буде, ось прозорий -? Та подіє і так ні чого не заважатиме.
А man-in-the-middle для http - нісенітниця, абсолютно жодних загроз, т.к. все шифрується. Хоча ідеально HTTPS налаштувати не так вже й просто. Мається на увазі, що там багато своїх внутрішніх нюансів – якими можна максимально все захистити.
-- З Повагою, спеціаліст з технічного та програмного забезпечення, системний адміністратор
Україна, Ростовська область, м. Таганрог