Контроль доступа, блокировка сай

Post new topic   Reply to topic    DD-WRT Forum Index -> Использование и установка DD-WRT
Goto page 1, 2  Next
Author Message
alexjames
DD-WRT Novice


Joined: 04 Oct 2015
Posts: 4

PostPosted: Sun Oct 04, 2015 9:38    Post subject: Контроль доступа, блокировка сай Reply with quote
Контроль доступа, блокировка сайтов по https - как?
Уже пару часов курю мануалы, понял уже, что это не бага, а фича, но мне просто край надо заблокировать https://vk.com
Посдкажите плз, как это сделать средствами роутера.
Прошивка DD-WRT v24-sp2 (12/22/14) std
Спасибо!

PS помогите, очень страдают дети!

PPS попробовал через блокировку ИП:
iptables -I FORWARD 1 -d 87.240.143.241 -j DROP
iptables -I FORWARD 1 -d 87.240.131.117 -j DROP
iptables -I FORWARD 1 -d 87.240.131.118 -j DROP
iptables -I FORWARD 1 -d 87.240.131.99 -j DROP
iptables -I FORWARD 1 -d 87.240.131.97 -j DROP
iptables -I FORWARD 1 -d 87.240.143.241 -j DROP
iptables -I FORWARD 1 -d 87.240.131.119 -j DROP
iptables -I FORWARD 1 -d 87.240.131.120 -j DROP

всё равно доступен Sad

Всё, вопрос решен, все-таки через блокировку по ИП, почему-то надо было перезагрузить роутер, чтобы заработало.
Всем спасибо Wink
Sponsor
vasek00
DD-WRT Guru


Joined: 06 Nov 2010
Posts: 3312

PostPosted: Mon Oct 05, 2015 6:15    Post subject: Re: Контроль доступа, блокировка с Reply with quote
FORWARD не есть правильно, нужно блокировать INPUT (вход), а не FORWARD.
alexjames
DD-WRT Novice


Joined: 04 Oct 2015
Posts: 4

PostPosted: Sun Oct 11, 2015 10:01    Post subject: Reply with quote
Тогда подскажите, пожалуйста, как правильно...
Т.к. сейчас столкнулся с такой проблемой - подвисают сайты, которые тянут какой-то контент с vk.com (например OLX.UA - понятия не имею, что оттуда тянет, но зверски тупит и в статусной строке вижу "соединение с vk.com").
Спасибо.
AlDemin
DD-WRT User


Joined: 20 Mar 2014
Posts: 139

PostPosted: Sun Oct 11, 2015 10:23    Post subject: Reply with quote
Все правильно, блокировать нужно в FORWARD:
iptables -I FORWARD -d vk.com -j REJECT

DROP просто "проглатывает" пакет, приложение при этом продолжает ждать установки соединения и пытается установить его снова.
REJECT сразу присылает ответ, что установка соединения невозможна.

Команда в том виде как я написал возможна, если на этот момент соединение установлено и доступен dns-сервер, в этом случае запись vk.com будет заменена на актуальный ip адрес, если адресов несколько то соответсвенно будут добавлены несколько правил.
vasek00
DD-WRT Guru


Joined: 06 Nov 2010
Posts: 3312

PostPosted: Sun Oct 11, 2015 11:08    Post subject: Reply with quote
alexjames wrote:
Тогда подскажите, пожалуйста, как правильно...
Т.к. сейчас столкнулся с такой проблемой - подвисают сайты, которые тянут какой-то контент с vk.com (например OLX.UA - понятия не имею, что оттуда тянет, но зверски тупит и в статусной строке вижу "соединение с vk.com").
Спасибо.


Если для блокировки web хостов могу предложить другой метод, основанный на том, что для того чтоб что-то получить для начало нужно выяснить его IP через мнемонику, т.е. использовать запрос на DNS сервер и получить от него ответ.
Для данного метода можно использовать DNSMasq если вы используете в качестве IP адреса DNS свой роутер.
На странице http://192.168.1.1/Services.asp раздел DNSMasq имеем :
Code:
DNSMasq - Enable
Local DNS - Enable
No DNS Rebind  - Enable
Query DNS in Strict Order - Disable

Теперь для определенного имени скажем "www.имя.com" отправлять запросы на другой DNS сервер (якобы), тогда в окне
"Additional DNSMasq Options" прописать например для сайта "www.имя.com"
Code:
server=/www.имя.com/192.168.1.224#60000

где
www.имя.com - реальное имя, которое вам надо
192.168.1.254 - любой пустой адрес в локальной сети, который не будет использован или 127.0.0.1
60000 - номер порта или другой свободный

Если роутер 192.168.1.1 клиент получает например 192.168.1.2, шлюз и DNS - 192.168.1.1
AlDemin
DD-WRT User


Joined: 20 Mar 2014
Posts: 139

PostPosted: Sun Oct 11, 2015 12:20    Post subject: Reply with quote
Добавлю с DNS не сработает, если чересчур умные дети смогут изменить сетевые настройки своих компьютеров и указать в качестве DNS: 8.8.8.8
vasek00
DD-WRT Guru


Joined: 06 Nov 2010
Posts: 3312

PostPosted: Sun Oct 11, 2015 13:38    Post subject: Reply with quote
AlDemin wrote:
Добавлю с DNS не сработает, если чересчур умные дети смогут изменить сетевые настройки своих компьютеров и указать в качестве DNS: 8.8.8.8

У вас присутствует слово - "если", вот "если" оно будет .... Как говориться по мере поступления.
Думаю в данном случае "умных ручек" не будет.
alexjames
DD-WRT Novice


Joined: 04 Oct 2015
Posts: 4

PostPosted: Sun Oct 11, 2015 19:03    Post subject: Reply with quote
ДНСом https не блокируется. Ну и часть моих детей уже знает, что такое ДНС от гугла Wink
vasek00
DD-WRT Guru


Joined: 06 Nov 2010
Posts: 3312

PostPosted: Mon Oct 12, 2015 6:37    Post subject: Reply with quote
alexjames wrote:
ДНСом https не блокируется. Ну и часть моих детей уже знает, что такое ДНС от гугла Wink


Тек.прошивка для информации
Code:
Linux My 3.10.89 #9289 Mon Sep 28 01:59:22 CEST 2015 mips GNU/Linux

Chain PREROUTING (policy ACCEPT 16756 packets, 1645K bytes)
 pkts bytes target     prot opt in     out     source               destination         
...
    0     0 DNAT       udp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           udp dpt:53 to:192.168.130.99
    0     0 DNAT       tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:53 to:192.168.130.99
...

ifconfig
ath0      Link encap:Ethernet  HWaddr
...
br0       Link encap:Ethernet  HWaddr
          inet addr:192.168.130.99  Bcast:192.168.130.255  Mask:255.255.255.0
...
eth0      Link encap:Ethernet  HWaddr
...
vlan1     Link encap:Ethernet  HWaddr
...
vlan2     Link encap:Ethernet  HWaddr
...


Второе не знаю как у вас, у меня решил проверить использование DNSMasq. Рег.адрес на yandex.ru, работа с его почтой идет по https, прописываю строчку :
Code:
server=/mail.yandex.ru/192.168.130.254#60000

через броузер пытаюсь открыть страницу, что-то никак Smile
Проблема при загрузке данной страницы вот такая ошибка. Вам вопрос чем отличается WEB запрос (DNS) http://www.имя.ru от https://www.имя.ru ?
Убираем данную строчку и все становиться нормальным. Smile
Это к тому, что я ко бы
alexjames wrote:
ДНСом https не блокируется.


Так же если интересно, то можно поискать про dnsmasq: DHCP и DNS или почитать про возможности
http://mnorin.com/nastrojka-dnsmasq-dhcp-dns.html
http://adminsklad.ru/doku.php?id=linux:dnsmasq
и т.д.

Если уж на то пошло, то можно жестко использовать например для DNS - например от yandex.ru ( https://dns.yandex.ru/advanced )

Ну если не хочется, то конечно iptables
AlDemin
DD-WRT User


Joined: 20 Mar 2014
Posts: 139

PostPosted: Mon Oct 12, 2015 9:45    Post subject: Reply with quote
alexjames wrote:
ДНСом https не блокируется.

Блокируется, просто у днс-записей есть так сказать "время актуальности записи" оно может быть очень длинным и если такая запись попала в кеш, пока это время не выйдет повторных запросов не будет, в связи с этим может показаться, что блокировка не работает.

Заблокировать все ДНС-ы, кроме своего - тоже вариант.
alexjames
DD-WRT Novice


Joined: 04 Oct 2015
Posts: 4

PostPosted: Thu Oct 15, 2015 13:20    Post subject: Reply with quote
AlDemin wrote:
Все правильно, блокировать нужно в FORWARD:
iptables -I FORWARD -d vk.com -j REJECT

DROP просто "проглатывает" пакет, приложение при этом продолжает ждать установки соединения и пытается установить его снова.
REJECT сразу присылает ответ, что установка соединения невозможна.

Команда в том виде как я написал возможна, если на этот момент соединение установлено и доступен dns-сервер, в этом случае запись vk.com будет заменена на актуальный ip адрес, если адресов несколько то соответсвенно будут добавлены несколько правил.


Сделал REJECT - всё то же самое, никакой разницы. vk.com недоступен, но ТУПИТ.

PS господа, я не админ, я экономист, мне очень тяжко читать этот топик...
Если можно - дайте плз готовую команду, которой я могу эффективно закрыть vk.com
Спасибо.
AlDemin
DD-WRT User


Joined: 20 Mar 2014
Posts: 139

PostPosted: Tue Oct 20, 2015 18:14    Post subject: Reply with quote
alexjames wrote:

Сделал REJECT - всё то же самое, никакой разницы. vk.com недоступен, но ТУПИТ.

На себе проверяю, если DROP то открывая VK - браузер долго ждет. Если REJECT почти сразу: "Попытка соединения не удалась" (вернее тоже не сразу, но быстрее).
Но Опера в режиме "турбо", и в Яндекс-браузер-е - тоже есть подобная фишка, обойдут эту блокировку на раз.
А кто именно тупит? В приведенном выше примере - не заметил тормозов.
И еще сейчас заметил: DNS записи у VK меняются каждые 15 минут, так что ваш список IP скорее всего не полон.
Мой вариант с
Code:
iptables -I FORWARD -d vk.com -j REJECT

не прокатит, тк за раз резольвится только 3 IP адреса, а их похоже десятки если не сотни.
vasek00
DD-WRT Guru


Joined: 06 Nov 2010
Posts: 3312

PostPosted: Wed Oct 21, 2015 5:59    Post subject: Reply with quote
1. vk.com - три адреса, которые могут меняться
2. vkontakte.ru - аналогично выше
3. vkadre.ru - аналогично выше
4. vkontakt имеет свой api с помощью которого может встраивать комментарии на другие сайты

По данной методике которую вы используете все зависит от броузера который имеет определенное кол-во попыток после которых он будет считать что связи нет, а => время
kol1178
DD-WRT Novice


Joined: 15 Apr 2016
Posts: 1

PostPosted: Mon Apr 18, 2016 10:40    Post subject: Контроль доступа по MAC Reply with quote
Ребята подскажите что не так делаю.В контроле доступа запрещаю доступ к интернету по MAC адресу.Выставляю время с 7.00 до 22.00 т.е можно пользоваться интернетом.В 22.00 доступ запрещается.А с утра пока не перезагрузишь роутер,интернет не включается. Роутер TP-Link nw841n прошивка DD-WRT v3.0-r28598 std (12/24/15)Подскажите,что можно сделать,что бы интернет подключался без перезагрузки роутера? За ранее спасибо.
vasek00
DD-WRT Guru


Joined: 06 Nov 2010
Posts: 3312

PostPosted: Tue Apr 19, 2016 6:16    Post subject: Re: Контроль доступа по MAC Reply with quote
kol1178 wrote:
Ребята подскажите что не так делаю.В контроле доступа запрещаю доступ к интернету по MAC адресу.Выставляю время с 7.00 до 22.00 т.е можно пользоваться интернетом.В 22.00 доступ запрещается.А с утра пока не перезагрузишь роутер,интернет не включается. Роутер TP-Link nw841n прошивка DD-WRT v3.0-r28598 std (12/24/15)Подскажите,что можно сделать,что бы интернет подключался без перезагрузки роутера? За ранее спасибо.

Могу предложить проверить настройки iptables в данный момент времени, т.е. до момента блокировки, момент блокировки и после снятия блокировки.
Команды iptables -nvL в разделе "Chain grp_"
Goto page 1, 2  Next Display posts from previous:    Page 1 of 2
Post new topic   Reply to topic    DD-WRT Forum Index -> Использование и установка DD-WRT All times are GMT

Navigation

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum
You cannot attach files in this forum
You cannot download files in this forum