Ну....
приложения будут работать, блокируйте доступ по IP адресам ресурсов. Но сами понимаете, IP могут меняться.
Тем машинам, которые могут ходить либо в ручную укажите другой DNS или отдавайте его по DHCP, но в нем нужно создать соответствующую Network.
Фейсбук ничем не отличается от vk. Дело в кеше DNS.
Вы занялись неблагодарным и бесполезным делом. Рекомендую поставить на недельку Микробилл, а потом по результатам обработки наложить на работников взыскания. Очень действенно. И в тоже время если работник в обед зашел в соцсеть - ничего страшного нет.
Проблемы с блокировкой vk.com
-
Vilnur
- Сообщения: 5
- Зарегистрирован: 07 окт 2016, 09:57
gmx писал(а):Ну....
приложения будут работать, блокируйте доступ по IP адресам ресурсов. Но сами понимаете, IP могут меняться.
Тем машинам, которые могут ходить либо в ручную укажите другой DNS или отдавайте его по DHCP, но в нем нужно создать соответствующую Network.
Фейсбук ничем не отличается от vk. Дело в кеше DNS.
Вы занялись неблагодарным и бесполезным делом. Рекомендую поставить на недельку Микробилл, а потом по результатам обработки наложить на работников взыскания. Очень действенно. И в тоже время если работник в обед зашел в соцсеть - ничего страшного нет.
да неспорю насчет бесполезного и неблагодарного дела .... но шеф требует именно заблокировать, а не статистику кто ходил куда ...
-
HotBeer
- Сообщения: 20
- Зарегистрирован: 16 ноя 2016, 13:36
- Откуда: Югорск
- Контактная информация:
vqd писал(а):вас еще ждет разочарование когда вы обнаружите что https не блокируется ))
А что скажите по этому поводу?
WhoBadWolf;7377872 писал(а):про wiki вы не тот пример посмотрели, там фильтрация по ответу сервера идет, с https она шифрованная - следовательно фильтр не сработает. а если фильтр на имя сайта ставить, он по запросный и не шифрованный идет - фильтр его видит и режет.
corlovito;7377948 писал(а):хм... подтверждаю работает спасибо
Ну так запустите снифер и получите ответ на ваш вопрос.
-
HotBeer
- Сообщения: 20
- Зарегистрирован: 16 ноя 2016, 13:36
- Откуда: Югорск
- Контактная информация:
vqd писал(а):Керио контрол ставьте )) Готовое решение на линуксе
Третий год работает, даже не подхожу.
-
HotBeer
- Сообщения: 20
- Зарегистрирован: 16 ноя 2016, 13:36
- Откуда: Югорск
- Контактная информация:
Mapcer писал(а):vqd писал(а):Керио контрол ставьте )) Готовое решение на линуксе
Керио контрол стоял на виндовсе (точнее он тут стоял, когда я устроился на работу), если использовать керио как шлюз + десяток правил фаервола и пяток правил ната, он работал хорошо, но когда потребовалось блокировать доступ к сайтам, по неизвестным причинам, интернет стал работать гораздо хуже.
/quote]
У меня на 7 версии на винде были глюки, а вот на никс версии из того же 7 семейства нет
-
gmx
- Модератор
- Сообщения: 3298
- Зарегистрирован: 01 окт 2012, 14:48
Для чего вы пишите одно и тоже в разных ветках???
Думаете от этого начнет блокироваться https???
Естественно фильтр на имя сайта будет работать. Но он также будет работать на всех других сайтах, где в тексте встречается vk.com, учитывая, что ссылка на vk.com сейчас есть практически у каждого сайта, они тоже будут заблокированы. В том числе и эта страница тоже.
Все! Хватит. Нету у микротика эффективного способа блокировки.
Думаете от этого начнет блокироваться https???
Естественно фильтр на имя сайта будет работать. Но он также будет работать на всех других сайтах, где в тексте встречается vk.com, учитывая, что ссылка на vk.com сейчас есть практически у каждого сайта, они тоже будут заблокированы. В том числе и эта страница тоже.
Все! Хватит. Нету у микротика эффективного способа блокировки.
-
HotBeer
- Сообщения: 20
- Зарегистрирован: 16 ноя 2016, 13:36
- Откуда: Югорск
- Контактная информация:
Господа модераторы удалите или закройте пожалуйста тему
viewtopic.php?f=3&t=7144&p=39307#p39307
Чтобы обсуждение было в одном треде, вот что я подытожил для себя и объясните, где и в чем не прав (сразу же скажу, что ветку перечитал)
в микротике есть резулярные выражение на L7 уровне
например
^.*(vk.com|ok.ru).*$
но таким образом это блокирует только http трафик, хотя большинство соцсетей висят давно на https
Проблема в том, что трафик возвращается уже шифрованный и соответственно фильтр уже не может определить содержание его.
НО
В вики написано, что микротик не сможет уловить https, потому что
там фильтрация по ответу сервера идет, с https она шифрованная - следовательно фильтр не сработает. а если фильтр на имя сайта ставить, он по запросный и не шифрованный идет - фильтр его видит и режет.
Чтобы микторитк проверял SNI в https трафике, нужно кодировать в hex кодирование кодировка с разделителем \x
Но это еще не все, нужно заменить hex значение точки на \. иначе микротик не понимает. (т.е. в результирующей строке заменить \x2E на \.)
vk.com|ok.ru
input options поставил \x
76\x6B\x2E\x63\x6F\x6D\x7C\x6F\x6B\x2E\x72\x75
сделать так
76\.x6B\.x2E\.x63\.x6F\.x6D\.x7C\.x6F\.x6B\.x2E\.x72\.x75
Да еще дело в браузере, не все браузеры отправляют SNI, но все современные однозначно отправляют
viewtopic.php?f=3&t=7144&p=39307#p39307
Чтобы обсуждение было в одном треде, вот что я подытожил для себя и объясните, где и в чем не прав (сразу же скажу, что ветку перечитал)
в микротике есть резулярные выражение на L7 уровне
например
^.*(vk.com|ok.ru).*$
но таким образом это блокирует только http трафик, хотя большинство соцсетей висят давно на https
Проблема в том, что трафик возвращается уже шифрованный и соответственно фильтр уже не может определить содержание его.
НО
В вики написано, что микротик не сможет уловить https, потому что
там фильтрация по ответу сервера идет, с https она шифрованная - следовательно фильтр не сработает. а если фильтр на имя сайта ставить, он по запросный и не шифрованный идет - фильтр его видит и режет.
Чтобы микторитк проверял SNI в https трафике, нужно кодировать в hex кодирование кодировка с разделителем \x
Но это еще не все, нужно заменить hex значение точки на \. иначе микротик не понимает. (т.е. в результирующей строке заменить \x2E на \.)
vk.com|ok.ru
input options поставил \x
76\x6B\x2E\x63\x6F\x6D\x7C\x6F\x6B\x2E\x72\x75
сделать так
76\.x6B\.x2E\.x63\.x6F\.x6D\.x7C\.x6F\.x6B\.x2E\.x72\.x75
Да еще дело в браузере, не все браузеры отправляют SNI, но все современные однозначно отправляют
-
HotBeer
- Сообщения: 20
- Зарегистрирован: 16 ноя 2016, 13:36
- Откуда: Югорск
- Контактная информация:
Вообще проблем с заходом на другие сайты нет, где есть упоминания на счет vk.com и остальных проблем нет, проблема проверил на двух форумах, если пишешь пост
я заблокировал vk.com пост не отправляется, убрать "запрещенные" слова, тогда всё нормально...
я заблокировал vk.com пост не отправляется, убрать "запрещенные" слова, тогда всё нормально...
-
gmx
- Модератор
- Сообщения: 3298
- Зарегистрирован: 01 окт 2012, 14:48
Да. Красивое решение.
Одна проблема - много ручного труда. Оно же разве только вк и одноклассники, таких сайтов десятка три...
Одна проблема - много ручного труда. Оно же разве только вк и одноклассники, таких сайтов десятка три...
-
podarok66
- Модератор
- Сообщения: 4360
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
А я так и не удосужился разобраться с тем, как писать эти фильтры((( То ли мозгов не хватает, то ли желания...
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...