Изпечатай

[sash]

привет на всички дистрото е ubuntu 10.4 мисля ,че беше не се сащам точно но е версията преди 11.10
както и да е накой може ли да ми каже как мога да блокирам skype евентуално и facebook чрез iptables
порових се из google и това което прочетох изглежда е доста трудно казваше се нещо за проверка на layer 7 пакети и преглеждането им за skype signature каквото и да значи не съм толкова навътре с iptables ...изглежда skype ползва random ип-та и портове а дори и да е блокнат по някакъвв начин ако на друга машина в същата мрежа с достъп до интернет има skype я ползва като gateway и остава "жив" Holy Crap!!!     мрежата е  2 linux машини с рутер , който си е най обикновен рутер за 30тина лв...

за facebook опитах следното

Код:

iptables -N FACEBOOK
 
iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range 66.220.144.0-66.220.159.255 --dport 443 -j FACEBOOK
iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range 69.63.176.0-69.63.191.255 --dport 443 -j FACEBOOK
iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range 204.15.20.0-204.15.23.255 --dport 443 -j FACEBOOK
iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range 66.220.144.0-66.220.159.255 --dport 80 -j FACEBOOK
iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range 69.63.176.0-69.63.191.255 --dport 80 -j FACEBOOK
iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range 204.15.20.0-204.15.23.255 --dport 80 -j FACEBOOK

iptables -A FACEBOOK -j REJECT

първоначално го килна но след тowa продължи да си работи нормално

Код:

ping facebook.com
PING facebook.com (69.171.224.11) 56(84) bytes of data.
64 bytes from www-10-01-prn1.facebook.com (69.171.224.11): icmp_seq=1 ttl=243 time=191 ms
64 bytes from www-10-01-prn1.facebook.com (69.171.224.11): icmp_seq=2 ttl=243 time=189 ms
64 bytes from www-10-01-prn1.facebook.com (69.171.224.11): icmp_seq=3 ttl=243 time=189 ms

dig facebook.com

; <<>> DiG 9.7.0-P1 <<>> facebook.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 58444
;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 5, ADDITIONAL: 1

;; QUESTION SECTION:
;facebook.com.         IN   A

;; ANSWER SECTION:
facebook.com.      509   IN   A   66.220.149.11
facebook.com.      509   IN   A   69.171.224.11
facebook.com.      509   IN   A   69.171.229.11

;; AUTHORITY SECTION:
facebook.com.      138792   IN   NS   ns3.facebook.com.
facebook.com.      138792   IN   NS   ns4.facebook.com.
facebook.com.      138792   IN   NS   ns5.facebook.com.
facebook.com.      138792   IN   NS   ns1.facebook.com.
facebook.com.      138792   IN   NS   ns2.facebook.com.

;; ADDITIONAL SECTION:
ns4.facebook.com.   73   IN   A   69.63.186.49

;; Query time: 9 msec
;; SERVER: 192.168.1.1#53(192.168.1.1)
;; WHEN: Fri Feb  3 18:47:06 2012
;; MSG SIZE  rcvd: 184

БЛА ГОДАРЯ предварително 

[tyuio]

Ами за всички потребители ли трябва да се блокира или ти ще си го ползваш? За фейса най лесно е да праснеш блокаж на браузера да не влиза там!

[b2l]

Код

GeSHi (Bash):
FACEBOOK_ALLOW="192.168.1.12 192.168.1.14 192.168.1.111"
iptables -N FACEBOOK
 
iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range 66.220.144.0-66.220.159.255 --dport 443 -j FACEBOOK
iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range 69.63.176.0-69.63.191.255 --dport 443 -j FACEBOOK
iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range 204.15.20.0-204.15.23.255 --dport 443 -j FACEBOOK
iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range 66.220.144.0-66.220.159.255 --dport 80 -j FACEBOOK
iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range 69.63.176.0-69.63.191.255 --dport 80 -j FACEBOOK
iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range 204.15.20.0-204.15.23.255 --dport 80 -j FACEBOOK
 
## FACEBOOK ALLOW
for face in $FACEBOOK_ALLOW; do
    iptables -A FACEBOOK -s $face -j ACCEPT
done
iptables -A FACEBOOK -j REJECT

http://kdn2.info/2010/11/block-facebook-com-with-iptables/

http://dornea.nu/articles/2011/04/02/block-facebook-iptables-openwrt

[vox]

Здравейте,
и аз доста съм пробвал да блокирам skype и facebook с помощта на
iptables, но в повечето случаи се оказваше по-скоро неработещо.
За това и послушах идеите на знаещите хора и от тогава ползвам
squid и работи перфектно. Препоръчвам и на теб да го пробваш.
Ако наистина се насочиш към него, ще ти предоставя how to с което
при мен нещата вървят идеялно.

[victim70]

А как се справяш ако има 2-3ма дето трябва да ползват скайп а всички други да нямат в една обща вътрешна мрежа. Със скуид-а ако е без изключения минава само веба, при първото изключение тези скайпове се надушват и се релейват през потребителя с права за достъп.

[vox]

Това е вярно обаче, за потребители които ползва скайп и такива които имат забрана. Да прав си, че всъщност скайп не се спира така лесно, но поне за facebook действа поне за сега. Ами по-принцип потребителите в squid-а са разхвърляни в групи на достъп. Ако напълно иска да спре скайпа, то по-добре да не маскира мрежата си във firewall-а Но предполагам, че има решения които струват пари и спират скайп успешно.

[romeo_ninov]

Хора, я ми обяснете (но от бизнес гледна точка) какви са тези идиотски правила: един във фирмата имал право да ползва скайп, останалите не можело. Никой ли няма акъл в главата си за да осъзнае че бизнес проблеми не се решават с технически средства? Същото важи и за човешки проблеми....

[Ekspert]

За фацебУкът:
su/do vim /etc/hosts
и добавяш фацебукът вътре и готово.

[and1soma]

@sash има една добавка за Firefox - BlockSite.
Чрез нейна помощ блокираш, който си искаш сайт и можеш да направиш така, че ако някой иска да влезе в настройките ѝ, да му иска парола.
След инсталацията отиваш в настройките на добавката и добавяш и премахваш сайтовете, които искаш.
Ето ти един tutorial, в който се показва как се работи с програмата.

П.П. Подобна добавка за Chrome - SiteBlock.

[sash]

до b2l опитах този вариант просто си намери друго ип изглежда имат предостатъчно

до vox eмм видях ,че със squid се се справили въпроса е ,че днес чувам за първи път за него lol
ма дай това howto ще се пробва ето и "решението"  ако може да е решение де ))
защото има хора при ,който не работи

Код:

acl badsite dstdomain .facebook.com
http_reply_access deny badsite
http_access deny CONNECT badsite

относно маскирането на мрежата нещо не "стоплих" и си мисля ,че ще скапя не само skype и fb по този начин всъщност
идея нямам не ми се е налагало да правя нещо подобно до сега
 
видях ,че има няколко мнения как да се направят нещата през browser всъщност не ми се иска да мисля ,че от комплексни linux
решения с ,който винаги се намира начин опираме до "browser"  ,който всъщност всеки може да манипулира
 
и към всички Благодаря ви за отговорите до сега.

PS ако е възможно нека да се насочим към филтрирането на layer 7 пакети
и как по точно това би проработило за skype и fb по всичко личи ,че там е разковничето.
ето до къде са стигнали и колегите чуждоземци     http://www.linuxquestions.org/questions/linux-newbie-8/iptable-rules-to-block-https-www-facebook-com-919096/

[victim70]

Хора, я ми обяснете (но от бизнес гледна точка) какви са тези идиотски правила: един във фирмата имал право да ползва скайп, останалите не можело. Никой ли няма акъл в главата си за да осъзнае че бизнес проблеми не се решават с технически средства? Същото важи и за човешки проблеми....

Много е просто. Биг бос идва и казва - "Отдела на принцесите само си бъбри по скайпа и виси във файсбука - това трябва да се спре че работата им стои". При което това си е пряка заповед от работодателя - правиш каквото можеш.
За фейса нямаше оплаквания че е глобално спрян, обаче отдела на маждрамуняците се нуждае от скайп за да прави конферентни разговори с доставчици.
Това добре - пускат се през отделен рутер и всичко за 1 ден е ОК.
Обаче се оказва че маждрамуняците използват и конферентни зали и други етажи и т.н.т. дето нямат инфраструктура за отделен рутер.
Пак няма проблеми свързаността им я правя през VPN и си мисля че като са отделни логически мрежи всичко е ОК.
На следващият ден биг бос квичи че принцеските пак имали скайп. Проверявам - вярно. Оказва се че има ли пуснат един скайп той релейва другите и стига да е в една физическа мрежа - няма отърване. Промъква се през какво ли не.
По гадното е че се затваря през шевски компютри и им претоварва мрежата. Домейн контролера също не ги спира, защото се лишават от вътрешна свързаност за да си имат скайп.
Та така нареждат ти обясняваш че неможе натискат те и изпълняваш.

[vox]

Има и друг вариант с две мрежи една интернетска и една вътрешна. Тези които искат да имат скайп да са във интернетската мрежа, а всички останали във вътрешната мрежа. Да малко повече работа и пари вероятно, но пак е решение.

[b2l]

Има и друг вариант с две мрежи една интернетска и една вътрешна. Тези които искат да имат скайп да са във интернетската мрежа, а всички останали във вътрешната мрежа. Да малко повече работа и пари вероятно, но пак е решение.

А тези от вътрешната няма да имат изобщо интернет ли?

[vox]

да

[b2l]

да

Доста неефективно, не мислиш ли?