Изпечатай

[limbozon]

Здравейте, на работа съм пуснал един Ubuntu 16 който играе ролята на NAT рутер с инсталиран DNS (DNSmasq), Squid,Ntopng за мониторинг на трафика и arno-iptables. Ntopng е страхотна програма с нея виждам всякакви протоколи, но как да нaправя конфигурирането между него и iptables. Така ще мога директно да блоквам скайп, торент трафик,фейсбук и тор. Опитах директно от iptables да блокна торентите, но каквито и правила да вкарам не става. Затова се спрях на варианта за блокиране с Ntopng. Ще съм много благодарен, ако някой го е направил вече и да ми подскаже!

[VladSun]

Ntopng не е ли само мониторинг на мрежата, не мисля че можеш да ограничаваш трафик през него.

За торентите - просто ограничи броя на TCP сесиите за всяко ИП (прим. на 64), потребителитете сами ще спрат. OSI L7 iptables правилата са доста гадни иначе...

Мисля, че това ще ти свърши работа:

Код

GeSHi (Bash):
iptables -A FORWARD -s LOCAL.NET.HERE/24 -p tcp --syn -m connlimit --connlimit-above 64 --connlimit-mask 32 -j REJECT --reject-with tcp-reset

[4096bits]

Препращай само портовете, които се ползват за работа. Всичко останало блокирай. Торентите се свързваха на произволен порт, Скайп май също. Макар че последното животно е упорито като хлебарка.

[10101]

Скайп можеш да спреш с ip route mreja blackhole

40.0.0.0/8 via 127.0.53.53 dev lo  scope link
64.4.0.0/16 via 127.0.53.53 dev lo  scope link
65.52.0.0/14 via 127.0.53.53 dev lo  scope link
91.176.0.0/12 via 127.0.53.53 dev lo  scope link
111.208.0.0/12 via 127.0.53.53 dev lo  scope link
157.54.0.0/15 via 127.0.53.53 dev lo  scope link
157.56.0.0/15 via 127.0.53.53 dev lo  scope link
157.60.0.0/15 via 127.0.53.53 dev lo  scope link

или :OUTPUT ACCEPT [136:6400]
-A OUTPUT -d 157.54.0.0/15 -j DROP
-A OUTPUT -d 157.60.0.0/16 -j DROP
-A OUTPUT -d 157.56.0.0/14 -j DROP
-A OUTPUT -d 40.0.0.0/8 -j DROP
-A OUTPUT -d 65.52.0.0/14 -j DROP
-A OUTPUT -d 111.208.0.0/12 -j DROP
-A OUTPUT -d 91.176.0.0/12 -j DROP
COMMIT

[go_fire]

Първо щях да ти кажа, че си боклук, защото искаш да забраниш Тор. Аз ползвам версия на Лисо специално в пакет с Тор. И това, не е защото ме е страх, че Борисов III ще научи, че посещавам най-вече ЛЗБ, Emacs dev list и Youporn. Правя го, защото има долното желание да го научи, но не ме пита аз да му го кажа.

Това има и добра страна. Като той и ти научите, че не съм лезбийка¹, педераст, двуфазен педераст или транссексуален (съкратено LGBT), то ще ме оставите на мира, защото не съм интересен. А че бия жена си, не ви пука.

Видях, че искаш да спираш и tpb. От това се ужасих. Краденето на софтуер (че и хардуер,  естествено) е това, което превърна нацията ни в „нация техническа“, за да може днес такива умни и красиви като теб да печелят по няколко хилядарки месечно, за да спират другите да стават специалисти.

Това също си има предимства. Така успешно ще се върнем при динозаврите, а разправят — старото време било добро. Не, че имам подобен спомен.

После обаче видях, че в списъка присъстват и две от адовите изчадия. Скъпия чат беше невъзможен за блокиране преди да бъде купен от една голяма компания от Сиатъл. Днес отиваш, ръсваш едни кинти и те ти дават средствата да го блокираш. Чиста работа.

Последното в списъка — Spybook и Гългъл. Те са елементарни. Тях просто ги слагаш в hosts. Аз точно така правя. Близко е до ума, че по-ефективен начин от това няма за нещо, което се намира в паяжината.

=*=

Здравей, приятно ми е, трол. И ще те троля, защото въпроса ти не ми харесва. И всъщност задаването му по този начин подсказва, че краденето на софтуер в твоя случай изобщо не е подействало. Което е любопитно.

п.п. Странно?! Мислех, че в днешно време никой не ползва скъпия чат. Около мен чувам народа съвсем други чатове разцъкват.



-----
¹/ Tая дума как се пише? Oстрова е Лесбос.

[4096bits]

Цялата работа няма много смисъл, защото ще трябва да тарашиш раници, дамски чанти и да преджобваш и опипваш хората, за wifi донгълче, ако компютъра няма вградена безжична връзка. Да ти е минавало през ума, че просто могат да си шернат интернета от телефона?

[limbozon]

Благодаря за отговорите!

Ще ги използвам по-възможно най-добрият начин. Виждам,че в темата има хора, които явно не разбират грам от мрежова сигурност щом си позволяват да ми искат сметка защо ще блокирам това и онова.  Няма да питам теб, какво да правя в моята мрежа. 

[go_fire]

Благодаря за отговорите!

Ще ги използвам по-възможно най-добрият начин. Виждам,че в темата има хора, които явно не разбират грам от мрежова сигурност щом си позволяват да ми искат сметка защо ще блокирам това и онова.  Няма да питам теб, какво да правя в моята мрежа. 

Не, че ми е работа да се обаждам, ама изглежда си още по-некомпетентен, отколкото си мислех. А при моето черногледство е трудно човек да ме изненада с още повече малоумие.

Забраняването на Тор е обратното на мрежова сигурност.

п.п. Хич не ми пука за личната ти мрежа у дома, ама я разнасяш из открити форуми.

[jet]

go_fire човека са го назначили за админче. Я в някоя банка или данъчно, може и общинка и сега ще раздава правосъдие за раЯта (предния сигурно е избягал в чужбинско).

[4096bits]

Е, мрежата е негова, та може и нистина да си е негова. Ама аз не бих ограничавал толкова служителите си. Има обратен ефект. А и както казах, през телефона няма никакъв проблем да си пусне интернет на компа.

[limbozon]

4096bits Само порното и торентите искам да блокирам. Зор ми е дали ще гледат или не - после няма онзи с фуражката да дойде да чисти от вируси.     go_fire  Като не ти е работа защо се обаждаш? На такива бедни заядливи душици като теб не трябва да им се позволява да се докосват до компютър. Аз не съм виновен,че жена ти не ти е пуснала

Сериозно вземете и прочете защо трябва да се блокира Тор. Или наистина не знаете каква е работата на Системния (тя не се състои в това да цъкаш по цял ден игрички)

[nikolin]

limbozon всичко зависи от желанието на задклавитурното у-во .

цък и торента е готов .

Навремето когато образи като теб се опитваха да ограничат корпоративната мрежа  няма да ти кажа колко глупости сътвориха колегите . Забранения плод е най сладък .

"Дайте ми лост и ще преместя Земята" - в случая достъп до интернет

Работата на сисадмин-а не е да се прави на аватар щото после да  си цъка нещо допълнително и да си пие кафето спокойно .

и не на последно място - не можеш да коментираш поведението на регистриран потребител а ти самия да се криеш зад анонимен ник .

[go_fire]

4096bits Само порното и торентите искам да блокирам. Зор ми е дали ще гледат или не - после няма онзи с фуражката да дойде да чисти от вируси.     go_fire  Като не ти е работа защо се обаждаш? На такива бедни заядливи душици като теб не трябва да им се позволява да се докосват до компютър. Аз не съм виновен,че жена ти не ти е пуснала

Сериозно вземете и прочете защо трябва да се блокира Тор. Или наистина не знаете каква е работата на Системния (тя не се състои в това да цъкаш по цял ден игрички)

Бах ти човека?!? Ти вѐрно си слабоумен. Подсказват ти се някакви неща и си продължаваш с глупостите.

Беден съм. Добре. Ти стана ли по-щастлив от моята бедност?

Недоебан съм. Пак добре. Ще те видя един ден като се ожениш и имаш деца, колко ще ебеш. Ще се държиш за палците. Обещавам да не ти се смея малко. Щото съм женен толкова отдавна, че вече не помня, какво е да си ерген.

Там където отиваш, ние отдавна сме забравили, че сме се върнали. Попътен вятър, пък остави дребните душици да си злобеем. То и без това не става.

Живот ли е това? Няма ебане. Трицифрена заплатка и то около средата, а не края на скалата. Ма'аме тука некви вехти лаптопи с ГНУ/Линукс, оти немаме пари за Макинтош. Сега и тях ще ни взимат. Мали-и-и… как сме живи не знам.

п.п. Благодаря, оправи ми вечерта след изтощителен ден. Направо ще си сипя чаша „Мераклийско“ в твоя чест и ще си я изпия с усмивка. Наздраве на компанията