Приветствую всех!Хотелось бы услышать советы по сабжу.
Использую IPFW. Совсем не хочется писать в нем руками правила для блокировки сайтов. Особенно типа контакта, где до хрена мирроров.
Хотелось бы какую-нить простенькую прогу в которой указываешь днс имя сайта и чтобы она сама прорезолвила все возможные айпишки и заблокировала хождение на них.
Еще важная особенность состоит в том, чтобы можно было указать айпи клиента из внутренней сети. Было бы плюсом если можно было бы указывать временные промежутки.Спасибо!
а вариант с прокси не рассматривается, там на порядок проще все это сделать.
>а вариант с прокси не рассматривается, там на порядок проще все это
>сделать.нет, к сожалению, не рассматривается. нужно именно через фаервалл.
>>а вариант с прокси не рассматривается, там на порядок проще все это
>>сделать.
>
>нет, к сожалению, не рассматривается. нужно именно через фаервалл.Если был бы Linux то Shorewall + webmin и через web там можно указывать Block IP
>>>а вариант с прокси не рассматривается, там на порядок проще все это
>>>сделать.
>>
>>нет, к сожалению, не рассматривается. нужно именно через фаервалл.
>
>Если был бы Linux то Shorewall + webmin и через web там
>можно указывать Block IPстоит FreeBSD, как я думаю, вы догадались :)
>>>>а вариант с прокси не рассматривается, там на порядок проще все это
>>>>сделать.
>>>
>>>нет, к сожалению, не рассматривается. нужно именно через фаервалл.
>>
>>Если был бы Linux то Shorewall + webmin и через web там
>>можно указывать Block IP
>
>стоит FreeBSD, как я думаю, вы догадались :)тогда поступи грамотно: потрать 10 минут на составление приказа об ограничение доступа в интернет, где пойманный будет нести финансовое наказание. подпиши у начальника и не играй больше в полицию нравов :)
>тогда поступи грамотно: потрать 10 минут на составление приказа об ограничение доступа
>в интернет, где пойманный будет нести финансовое наказание. подпиши у начальника
>и не играй больше в полицию нравов :)Он прав именно с этого и нужно начинать....
>>тогда поступи грамотно: потрать 10 минут на составление приказа об ограничение доступа
>>в интернет, где пойманный будет нести финансовое наказание. подпиши у начальника
>>и не играй больше в полицию нравов :)
>
>Он прав именно с этого и нужно начинать....ну конечно это не плохо. но все же жду советов по сабжу :)
>>>тогда поступи грамотно: потрать 10 минут на составление приказа об ограничение доступа
>>>в интернет, где пойманный будет нести финансовое наказание. подпиши у начальника
>>>и не играй больше в полицию нравов :)
>>
>>Он прав именно с этого и нужно начинать....
>
>ну конечно это не плохо. но все же жду советов по сабжу
>:)Попробуй webmin по FreeBSD там модуль для IPFW есть. Всё что на ум приходит.
>[оверквотинг удален]
>>>>в интернет, где пойманный будет нести финансовое наказание. подпиши у начальника
>>>>и не играй больше в полицию нравов :)
>>>
>>>Он прав именно с этого и нужно начинать....
>>
>>ну конечно это не плохо. но все же жду советов по сабжу
>>:)
>
>Попробуй webmin по FreeBSD там модуль для IPFW есть. Всё что на
>ум приходит.1. Не бредить и не упираться в то, что файрволл панацея.
2. Настроить прозрачный прокси
3. В проксе настроить нужные правила, возможно через squidGuard.Итого:
не надо постоянно дергать файрволл скриптами, обновляя списки айпишек для доменов.
не надо собирать списки поддоменов, потому что их просто так автоматом никто не сформирует
настроил один раз и забыл. Если вам этого не надо и интересно возиться с системой постоянно - тогда вперед, составляйте списки айпи и вгоняйте их в файрволл.
>Итого:И, всё-таки,- начать надо с приказа
>>Итого:
>
>И, всё-таки,- начать надо с приказаВ обязятельном порядке.
В принципе это задачи руководства технического отдела. Администратор не должен заниматься самодеятельностью, все что он делает должно быть согласовано с его руководством.
>ну конечно это не плохо. но все же жду советов по сабжу
по опыту скажу, есть куча (это значит дофига) анонимных прокси серверов зайдя на который юзер получит доступ к любому закрытому Вами ресурсу. поэтому не вижу смысла упиратся в фаервол, исходя из того что мироры у любого сайта могут расти до фантостического размера и проще уж в сквиде один раз запретить vkontakte.ru чем ставить денай на 20 ай-пи, и постоянно следить а не открылся ли еще один, а не закрылся ли другой.
>по опыту скажу, есть куча (это значит дофига) анонимных прокси серверов зайдя
>на который юзер получит доступ к любому закрытому Вами ресурсу. поэтому
>не вижу смысла упиратся в фаервол, исходя из того что мироры
>у любого сайта могут расти до фантостического размера и проще уж
>в сквиде один раз запретить vkontakte.ru чем ставить денай на 20
>ай-пи, и постоянно следить а не открылся ли еще один, а
>не закрылся ли другой.гм. прокси это хорошо... вот только у меня NetAMS стоит для подсчета трафика..
почитал я - не дружит он со сквидом... т.е. трафик проходящий через сквид не учитывает..
>[оверквотинг удален]
>>не вижу смысла упиратся в фаервол, исходя из того что мироры
>>у любого сайта могут расти до фантостического размера и проще уж
>>в сквиде один раз запретить vkontakte.ru чем ставить денай на 20
>>ай-пи, и постоянно следить а не открылся ли еще один, а
>>не закрылся ли другой.
>
>гм. прокси это хорошо... вот только у меня NetAMS стоит для подсчета
>трафика..
>почитал я - не дружит он со сквидом... т.е. трафик проходящий через
>сквид не учитывает..всё он может учитывать, просто надо правильно приготовить.
может проще снимать дампом трафик, например в файлик, каждые 10 минут стопать и запускать заново, а полученый отправлять в базу, и там только дай расгуляться воображению...
вэб-мордочку, с какой хочешь выборкой
цыфры конечно же будут приблезительные... меньше чем есть на самом деле (недостаток тспдампа) но зато будут факты, которыми можно наказывать!
Ну, ессесно, нужно будет убить время но кодинг. зато сделав раз, забудешь навсегда ;) а может кому еще пригодиться
>может проще снимать дампом трафик, например в файлик, каждые 10 минут стопать
>и запускать заново, а полученый отправлять в базу, и там только
>дай расгуляться воображению...
>вэб-мордочку, с какой хочешь выборкой
> цыфры конечно же будут приблезительные... меньше чем есть на самом деле
>(недостаток тспдампа) но зато будут факты, которыми можно наказывать!
>Ну, ессесно, нужно будет убить время но кодинг. зато сделав раз, забудешь
>навсегда ;) а может кому еще пригодитьсязачем мне снимать трафик дампом если уже прекрасно работает НетАМС и там все работает + там уже есть веб-морда?
>зачем мне снимать трафик дампом если уже прекрасно работает НетАМС и там
>все работает + там уже есть веб-морда?Попробуй всё же хотя бы почитать Squid + Sams. А если ты любишь особо извращённые решения, попробуй поиграть с перенаправлением, что бы на вместо vkontakte открывался локальный сайт с начальнегом, грозящим пальцем. :P