Posted: Sun Oct 04, 2015 9:38 Post subject: Контроль доступа, блокировка сай
Контроль доступа, блокировка сайтов по https - как?
Уже пару часов курю мануалы, понял уже, что это не бага, а фича, но мне просто край надо заблокировать https://vk.com
Посдкажите плз, как это сделать средствами роутера.
Прошивка DD-WRT v24-sp2 (12/22/14) std
Спасибо!
PS помогите, очень страдают дети!
PPS попробовал через блокировку ИП:
iptables -I FORWARD 1 -d 87.240.143.241 -j DROP
iptables -I FORWARD 1 -d 87.240.131.117 -j DROP
iptables -I FORWARD 1 -d 87.240.131.118 -j DROP
iptables -I FORWARD 1 -d 87.240.131.99 -j DROP
iptables -I FORWARD 1 -d 87.240.131.97 -j DROP
iptables -I FORWARD 1 -d 87.240.143.241 -j DROP
iptables -I FORWARD 1 -d 87.240.131.119 -j DROP
iptables -I FORWARD 1 -d 87.240.131.120 -j DROP
всё равно доступен
Всё, вопрос решен, все-таки через блокировку по ИП, почему-то надо было перезагрузить роутер, чтобы заработало.
Всем спасибо
Тогда подскажите, пожалуйста, как правильно...
Т.к. сейчас столкнулся с такой проблемой - подвисают сайты, которые тянут какой-то контент с vk.com (например OLX.UA - понятия не имею, что оттуда тянет, но зверски тупит и в статусной строке вижу "соединение с vk.com").
Спасибо.
Все правильно, блокировать нужно в FORWARD:
iptables -I FORWARD -d vk.com -j REJECT
DROP просто "проглатывает" пакет, приложение при этом продолжает ждать установки соединения и пытается установить его снова.
REJECT сразу присылает ответ, что установка соединения невозможна.
Команда в том виде как я написал возможна, если на этот момент соединение установлено и доступен dns-сервер, в этом случае запись vk.com будет заменена на актуальный ip адрес, если адресов несколько то соответсвенно будут добавлены несколько правил.
Тогда подскажите, пожалуйста, как правильно...
Т.к. сейчас столкнулся с такой проблемой - подвисают сайты, которые тянут какой-то контент с vk.com (например OLX.UA - понятия не имею, что оттуда тянет, но зверски тупит и в статусной строке вижу "соединение с vk.com").
Спасибо.
Если для блокировки web хостов могу предложить другой метод, основанный на том, что для того чтоб что-то получить для начало нужно выяснить его IP через мнемонику, т.е. использовать запрос на DNS сервер и получить от него ответ.
Для данного метода можно использовать DNSMasq если вы используете в качестве IP адреса DNS свой роутер.
На странице http://192.168.1.1/Services.asp раздел DNSMasq имеем :
Code:
DNSMasq - Enable
Local DNS - Enable
No DNS Rebind - Enable
Query DNS in Strict Order - Disable
Теперь для определенного имени скажем "www.имя.com" отправлять запросы на другой DNS сервер (якобы), тогда в окне
"Additional DNSMasq Options" прописать например для сайта "www.имя.com"
Code:
server=/www.имя.com/192.168.1.224#60000
где
www.имя.com - реальное имя, которое вам надо
192.168.1.254 - любой пустой адрес в локальной сети, который не будет использован или 127.0.0.1
60000 - номер порта или другой свободный
Если роутер 192.168.1.1 клиент получает например 192.168.1.2, шлюз и DNS - 192.168.1.1
ifconfig
ath0 Link encap:Ethernet HWaddr
...
br0 Link encap:Ethernet HWaddr
inet addr:192.168.130.99 Bcast:192.168.130.255 Mask:255.255.255.0
...
eth0 Link encap:Ethernet HWaddr
...
vlan1 Link encap:Ethernet HWaddr
...
vlan2 Link encap:Ethernet HWaddr
...
Второе не знаю как у вас, у меня решил проверить использование DNSMasq. Рег.адрес на yandex.ru, работа с его почтой идет по https, прописываю строчку :
Code:
server=/mail.yandex.ru/192.168.130.254#60000
через броузер пытаюсь открыть страницу, что-то никак
Проблема при загрузке данной страницы вот такая ошибка. Вам вопрос чем отличается WEB запрос (DNS) http://www.имя.ru от https://www.имя.ru ?
Убираем данную строчку и все становиться нормальным.
Это к тому, что я ко бы
Блокируется, просто у днс-записей есть так сказать "время актуальности записи" оно может быть очень длинным и если такая запись попала в кеш, пока это время не выйдет повторных запросов не будет, в связи с этим может показаться, что блокировка не работает.
Заблокировать все ДНС-ы, кроме своего - тоже вариант.
Все правильно, блокировать нужно в FORWARD:
iptables -I FORWARD -d vk.com -j REJECT
DROP просто "проглатывает" пакет, приложение при этом продолжает ждать установки соединения и пытается установить его снова.
REJECT сразу присылает ответ, что установка соединения невозможна.
Команда в том виде как я написал возможна, если на этот момент соединение установлено и доступен dns-сервер, в этом случае запись vk.com будет заменена на актуальный ip адрес, если адресов несколько то соответсвенно будут добавлены несколько правил.
Сделал REJECT - всё то же самое, никакой разницы. vk.com недоступен, но ТУПИТ.
PS господа, я не админ, я экономист, мне очень тяжко читать этот топик...
Если можно - дайте плз готовую команду, которой я могу эффективно закрыть vk.com
Спасибо.
Сделал REJECT - всё то же самое, никакой разницы. vk.com недоступен, но ТУПИТ.
На себе проверяю, если DROP то открывая VK - браузер долго ждет. Если REJECT почти сразу: "Попытка соединения не удалась" (вернее тоже не сразу, но быстрее).
Но Опера в режиме "турбо", и в Яндекс-браузер-е - тоже есть подобная фишка, обойдут эту блокировку на раз.
А кто именно тупит? В приведенном выше примере - не заметил тормозов.
И еще сейчас заметил: DNS записи у VK меняются каждые 15 минут, так что ваш список IP скорее всего не полон.
Мой вариант с
Code:
iptables -I FORWARD -d vk.com -j REJECT
не прокатит, тк за раз резольвится только 3 IP адреса, а их похоже десятки если не сотни.
1. vk.com - три адреса, которые могут меняться
2. vkontakte.ru - аналогично выше
3. vkadre.ru - аналогично выше
4. vkontakt имеет свой api с помощью которого может встраивать комментарии на другие сайты
По данной методике которую вы используете все зависит от броузера который имеет определенное кол-во попыток после которых он будет считать что связи нет, а => время
Posted: Mon Apr 18, 2016 10:40 Post subject: Контроль доступа по MAC
Ребята подскажите что не так делаю.В контроле доступа запрещаю доступ к интернету по MAC адресу.Выставляю время с 7.00 до 22.00 т.е можно пользоваться интернетом.В 22.00 доступ запрещается.А с утра пока не перезагрузишь роутер,интернет не включается. Роутер TP-Link nw841n прошивка DD-WRT v3.0-r28598 std (12/24/15)Подскажите,что можно сделать,что бы интернет подключался без перезагрузки роутера? За ранее спасибо.
Posted: Tue Apr 19, 2016 6:16 Post subject: Re: Контроль доступа по MAC
kol1178 wrote:
Ребята подскажите что не так делаю.В контроле доступа запрещаю доступ к интернету по MAC адресу.Выставляю время с 7.00 до 22.00 т.е можно пользоваться интернетом.В 22.00 доступ запрещается.А с утра пока не перезагрузишь роутер,интернет не включается. Роутер TP-Link nw841n прошивка DD-WRT v3.0-r28598 std (12/24/15)Подскажите,что можно сделать,что бы интернет подключался без перезагрузки роутера? За ранее спасибо.
Могу предложить проверить настройки iptables в данный момент времени, т.е. до момента блокировки, момент блокировки и после снятия блокировки.
Команды iptables -nvL в разделе "Chain grp_"