Доброго времени!

Есть задача - руководство компании-клиента настаивает на отказе пользователям в доступе к некоторым ресурсам.

Проблема в следующем: по некоторым соображениям им не подходит вариант работы через прозрачный прокси, т.к. юзается очень специфичное ПО. В то же время сайты, которые подлежат фильтрации, постоянно меняют место хостинга, плюс куча порносайтов, бесплатные почтовики и т.д. Короче, переваливает это все за 500 адресов. Самое реальное, что приходит в голову - у нас на ДНСе сделать фильтрацию, ДНС-трафик наружу от них не ходит. Пакетным фильтром пробовали, но в таком случае "режутся" и нужные ресурсы, находящиеся на одном IP-адресе с блокируемым. Отсюда - блокировка по доменным именам. Поиском ничего не нашел.

Реально сделать такое?

• Фильтрация на BIND,artvp, 17:59 , 15-Сен-08
• Фильтрация на BIND,hattifattener, 18:22 , 15-Сен-08
  • Фильтрация на BIND,artvp, 18:53 , 15-Сен-08
    • Фильтрация на BIND,angra, 20:28 , 15-Сен-08
      • Фильтрация на BIND,artvp, 11:20 , 16-Сен-08
        • Фильтрация на BIND,hattifattener, 13:10 , 16-Сен-08
          • Фильтрация на BIND,artvp, 14:39 , 16-Сен-08
        • Фильтрация на BIND,angra, 15:24 , 16-Сен-08
• Фильтрация на BIND,Nimdar, 13:45 , 16-Сен-08
  • Фильтрация на BIND,artvp, 14:35 , 16-Сен-08

>[оверквотинг удален]
>прозрачный прокси, т.к. юзается очень специфичное ПО. В то же время
>сайты, которые подлежат фильтрации, постоянно меняют место хостинга, плюс куча порносайтов,
>бесплатные почтовики и т.д. Короче, переваливает это все за 500 адресов.
>Самое реальное, что приходит в голову - у нас на ДНСе
>сделать фильтрацию, ДНС-трафик наружу от них не ходит. Пакетным фильтром пробовали,
>но в таком случае "режутся" и нужные ресурсы, находящиеся на одном
>IP-адресе с блокируемым. Отсюда - блокировка по доменным именам. Поиском ничего
>не нашел.
>
>Реально сделать такое?

Или что-нибудь, близкое по результату...

>
>Реально сделать такое?
>

Можно заспуфить соответствующие домены - просто поднять для них master с заворотом в localhost :)

А если нужно решение для взрослых - CISCO ASA 55xx -> Content Filtering

>>
>>Реально сделать такое?
>>
>
>Можно заспуфить соответствующие домены - просто поднять для них master с заворотом
>в localhost :)
>
>А если нужно решение для взрослых - CISCO ASA 55xx -> Content Filtering

Да, это вариант. Придется кучу зон типа freexxx.com, кучу файлов зон и т.д. Кропотливо, но неизбежно :)
Кстати, а нельзя никак поднять зону .com, в ней А-записи xxx.com, xxx1.com, xxx2.com... Я пробовал и так, но тогда отрубается все остальное в зоне.

А самое главное что все это до одного места. Найдется хотя бы один умный пользователь, который пропишет у себя в hosts нужные пары ip domain и через неделю это будет у всех :)

Объясните начальству, что административные вопросы нельзя решить только техническими мерами. А вот сочетание технических и административных методов дает неизменно превосходный результат.

>А самое главное что все это до одного места. Найдется хотя бы
>один умный пользователь, который пропишет у себя в hosts нужные пары
>ip domain и через неделю это будет у всех :)
>
>Объясните начальству, что административные вопросы нельзя решить только техническими мерами. А вот
>сочетание технических и административных методов дает неизменно превосходный результат.

Я лично абсолютно с Вами согласен. Но если б я все рашал :) ...
Не, там виндовые админы те еще... Права у пользователей куриные. Не смогут даже в каталог с виндой зайти. В общем-то это банк. Безопасность и все такое. Но есть и коммерческие отделы, в которых Инет - инструмент для работы. Административно они как раз все предусмотрели - есть в договорах пункт о прикрытии нежелательных ресурсов... И время от времени на саппорт приходят гневные ноты - "Петров снова в чате висит! Я сама зашла и увидела его там!...".
Отслеживать расположение такого количества ресурсов нереально. Вот и пришла мысль в БИНДе что-то прописать.

Кроме этого самое реальное - писать скрипт, который будет по крону ресолвить и дампить нужные мне адреса в файл-таблицу для ПФ. Но при этом страдают нужные для работы ресурсы.
Тупик однако.
Подскажите одно - можно ли поднять у меня мастер зону - к примеру .ru
Затем прописать там нужный мне список доменов и перенаправить его на страничку "ай-ай-ай!..." Я делал так, но отрубается вся зона .ру. Каков выход?

>Затем прописать там нужный мне список доменов и перенаправить его на страничку
>"ай-ай-ай!..." Я делал так, но отрубается вся зона .ру. Каков выход?
>

Только поднимать мастер для каждого запрещенного домена в отдельности. Он охватит и все его поддомены.

Решение рабочее, но в целом неоптимальное.
Думаю банк смог бы позволить себе купить ASA и фильтровать что угодно и как угодно.

>[оверквотинг удален]
>>Затем прописать там нужный мне список доменов и перенаправить его на страничку
>>"ай-ай-ай!..." Я делал так, но отрубается вся зона .ру. Каков выход?
>>
>
>Только поднимать мастер для каждого запрещенного домена в отдельности. Он охватит и
>все его поддомены.
>
>Решение рабочее, но в целом неоптимальное.
>Думаю банк смог бы позволить себе купить ASA и фильтровать что угодно
>и как угодно.

Да, спасибо. На домены, где конфликтуют айпишники, так и сделаю. На остальные  - скрипт, чтобы ресолвил раз в день и пихал в пакетфильтр. По поводу асашки я капнул на моск, но бюджет на этот год уже того... С нового года продавлю, а пока так.

Всем спасибо за помощь!

>- инструмент для работы. Административно они как раз все предусмотрели -
>есть в договорах пункт о прикрытии нежелательных ресурсов... И время от
>времени на саппорт приходят гневные ноты - "Петров снова в чате
>висит! Я сама зашла и увидела его там!...".
>Отслеживать расположение такого количества ресурсов нереально. Вот и пришла мысль в БИНДе
>что-то прописать.

Наиболее действенной является политика когда _технически_ ничего не запрещается, просто ведется лог и потом анализируется. Дальше результаты предоставляются начальству, а оно уже работает методом кнута. Основное момент в том, что обход запрета делается последовательным перебором способов и сразу видно сработал ли  способ, а вот результаты попыток обойти логи станут известны пользователю в конце месяца, обычно вместе с штрафом/выговором/итд.

Так как основная проблема у вас сайты, то для вашей ситуации неплохо было бы трафик по 80(но не 443) порту отправить на сквид, а остальное уже пускать через nat. Сквид значительно лучше подходит для фильтрации/логирования http трафика.

>[оверквотинг удален]
>прозрачный прокси, т.к. юзается очень специфичное ПО. В то же время
>сайты, которые подлежат фильтрации, постоянно меняют место хостинга, плюс куча порносайтов,
>бесплатные почтовики и т.д. Короче, переваливает это все за 500 адресов.
>Самое реальное, что приходит в голову - у нас на ДНСе
>сделать фильтрацию, ДНС-трафик наружу от них не ходит. Пакетным фильтром пробовали,
>но в таком случае "режутся" и нужные ресурсы, находящиеся на одном
>IP-адресе с блокируемым. Отсюда - блокировка по доменным именам. Поиском ничего
>не нашел.
>
>Реально сделать такое?

А может сделать наоборот: запретить всё, и разрешать только необходимое? Мне почему-то кажется, что по работе требуется в разы меньше 500 адресов. Это в разы упрощает задачу, как мне кажется.

>[оверквотинг удален]
>>сделать фильтрацию, ДНС-трафик наружу от них не ходит. Пакетным фильтром пробовали,
>>но в таком случае "режутся" и нужные ресурсы, находящиеся на одном
>>IP-адресе с блокируемым. Отсюда - блокировка по доменным именам. Поиском ничего
>>не нашел.
>>
>>Реально сделать такое?
>
>А может сделать наоборот: запретить всё, и разрешать только необходимое? Мне почему-то
>кажется, что по работе требуется в разы меньше 500 адресов. Это
>в разы упрощает задачу, как мне кажется.

У банкиров так бы оно и было, но есть несколько коммерческих подразделений, которым нужно все.