https://www.opennet.ru/openforum/vsluhforumID1/81990.html Доброго времени!<br><br>Есть задача - руководство компании-клиента настаивает на отказе пользователям в доступе к некоторым ресурсам.<br> <br>Проблема в следующем: по некоторым соображениям им не подходит вариант работы через прозрачный прокси, т.к. юзается очень специфичное ПО. В то же время сайты, которые подлежат фильтрации, постоянно меняют место хостинга, плюс куча порносайтов, бесплатные почтовики и т.д. Короче, переваливает это все за 500 адресов. Самое реальное, что приходит в голову - у нас на ДНСе сделать фильтрацию, ДНС-трафик наружу от них не ходит. Пакетным фильтром пробовали, но в таком случае "режутся" и нужные ресурсы, находящиеся на одном IP-адресе с блокируемым. Отсюда - блокировка по доменным именам. Поиском ничего не нашел.<br><br>Реально сделать такое?<br> https://www.opennet.ru/openforum/vsluhforumID1/81990.html#10 Tue, 16 Sep 2008 11:24:54 GMT &gt;- инструмент для работы. Административно они как раз все предусмотрели - <br>&gt;есть в договорах пункт о прикрытии нежелательных ресурсов... И время от <br>&gt;времени на саппорт приходят гневные ноты - "Петров снова в чате <br>&gt;висит! Я сама зашла и увидела его там!...". <br>&gt;Отслеживать расположение такого количества ресурсов нереально. Вот и пришла мысль в БИНДе <br>&gt;что-то прописать. <br><br>Наиболее действенной является политика когда _технически_ ничего не запрещается, просто ведется лог и потом анализируется. Дальше результаты предоставляются начальству, а оно уже работает методом кнута. Основное момент в том, что обход запрета делается последовательным перебором способов и сразу видно сработал ли способ, а вот результаты попыток обойти логи станут известны пользователю в конце месяца, обычно вместе с штрафом/выговором/итд.<br><br><br>Так как основная проблема у вас сайты, то для вашей ситуации неплохо было бы трафик по 80(но не 443) порту отправить на сквид, а остальное уже пускать через nat. Сквид значительно лучше подходит https://www.opennet.ru/openforum/vsluhforumID1/81990.html#9 Tue, 16 Sep 2008 10:39:32 GMT &gt;[оверквотинг удален]<br>&gt;&gt;Затем прописать там нужный мне список доменов и перенаправить его на страничку <br>&gt;&gt;"ай-ай-ай!..." Я делал так, но отрубается вся зона .ру. Каков выход? <br>&gt;&gt;<br>&gt;<br>&gt;Только поднимать мастер для каждого запрещенного домена в отдельности. Он охватит и <br>&gt;все его поддомены. <br>&gt;<br>&gt;Решение рабочее, но в целом неоптимальное. <br>&gt;Думаю банк смог бы позволить себе купить ASA и фильтровать что угодно <br>&gt;и как угодно. <br><br>Да, спасибо. На домены, где конфликтуют айпишники, так и сделаю. На остальные - скрипт, чтобы ресолвил раз в день и пихал в пакетфильтр. По поводу асашки я капнул на моск, но бюджет на этот год уже того... С нового года продавлю, а пока так.<br><br>Всем спасибо за помощь!<br> https://www.opennet.ru/openforum/vsluhforumID1/81990.html#8 Tue, 16 Sep 2008 10:35:04 GMT &gt;[оверквотинг удален]<br>&gt;&gt;сделать фильтрацию, ДНС-трафик наружу от них не ходит. Пакетным фильтром пробовали, <br>&gt;&gt;но в таком случае "режутся" и нужные ресурсы, находящиеся на одном <br>&gt;&gt;IP-адресе с блокируемым. Отсюда - блокировка по доменным именам. Поиском ничего <br>&gt;&gt;не нашел. <br>&gt;&gt;<br>&gt;&gt;Реально сделать такое? <br>&gt;<br>&gt;А может сделать наоборот: запретить всё, и разрешать только необходимое? Мне почему-то <br>&gt;кажется, что по работе требуется в разы меньше 500 адресов. Это <br>&gt;в разы упрощает задачу, как мне кажется. <br><br>У банкиров так бы оно и было, но есть несколько коммерческих подразделений, которым нужно все.<br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/81990.html#7 Tue, 16 Sep 2008 09:45:33 GMT &gt;[оверквотинг удален]<br>&gt;прозрачный прокси, т.к. юзается очень специфичное ПО. В то же время <br>&gt;сайты, которые подлежат фильтрации, постоянно меняют место хостинга, плюс куча порносайтов, <br>&gt;бесплатные почтовики и т.д. Короче, переваливает это все за 500 адресов. <br>&gt;Самое реальное, что приходит в голову - у нас на ДНСе <br>&gt;сделать фильтрацию, ДНС-трафик наружу от них не ходит. Пакетным фильтром пробовали, <br>&gt;но в таком случае "режутся" и нужные ресурсы, находящиеся на одном <br>&gt;IP-адресе с блокируемым. Отсюда - блокировка по доменным именам. Поиском ничего <br>&gt;не нашел. <br>&gt;<br>&gt;Реально сделать такое? <br><br>А может сделать наоборот: запретить всё, и разрешать только необходимое? Мне почему-то кажется, что по работе требуется в разы меньше 500 адресов. Это в разы упрощает задачу, как мне кажется.<br> https://www.opennet.ru/openforum/vsluhforumID1/81990.html#6 Tue, 16 Sep 2008 09:10:36 GMT <br>&gt;Затем прописать там нужный мне список доменов и перенаправить его на страничку <br>&gt;"ай-ай-ай!..." Я делал так, но отрубается вся зона .ру. Каков выход? <br>&gt;<br><br>Только поднимать мастер для каждого запрещенного домена в отдельности. Он охватит и все его поддомены.<br><br>Решение рабочее, но в целом неоптимальное.<br>Думаю банк смог бы позволить себе купить ASA и фильтровать что угодно и как угодно.<br><br> https://www.opennet.ru/openforum/vsluhforumID1/81990.html#5 Tue, 16 Sep 2008 07:20:25 GMT &gt;А самое главное что все это до одного места. Найдется хотя бы <br>&gt;один умный пользователь, который пропишет у себя в hosts нужные пары <br>&gt;ip domain и через неделю это будет у всех :) <br>&gt;<br>&gt;Объясните начальству, что административные вопросы нельзя решить только техническими мерами. А вот <br>&gt;сочетание технических и административных методов дает неизменно превосходный результат. <br><br>Я лично абсолютно с Вами согласен. Но если б я все рашал :) ...<br>Не, там виндовые админы те еще... Права у пользователей куриные. Не смогут даже в каталог с виндой зайти. В общем-то это банк. Безопасность и все такое. Но есть и коммерческие отделы, в которых Инет - инструмент для работы. Административно они как раз все предусмотрели - есть в договорах пункт о прикрытии нежелательных ресурсов... И время от времени на саппорт приходят гневные ноты - "Петров снова в чате висит! Я сама зашла и увидела его там!...".<br>Отслеживать расположение такого количества ресурсов нереально. Вот и пришла мысль в БИНДе что-то прописать.<br><br>Кроме этого с https://www.opennet.ru/openforum/vsluhforumID1/81990.html#4 Mon, 15 Sep 2008 16:28:00 GMT А самое главное что все это до одного места. Найдется хотя бы один умный пользователь, который пропишет у себя в hosts нужные пары ip domain и через неделю это будет у всех :)<br><br>Объясните начальству, что административные вопросы нельзя решить только техническими мерами. А вот сочетание технических и административных методов дает неизменно превосходный результат. <br> https://www.opennet.ru/openforum/vsluhforumID1/81990.html#3 Mon, 15 Sep 2008 14:53:13 GMT &gt;&gt;<br>&gt;&gt;Реально сделать такое? <br>&gt;&gt;<br>&gt;<br>&gt;Можно заспуфить соответствующие домены - просто поднять для них master с заворотом <br>&gt;в localhost :) <br>&gt;<br>&gt;А если нужно решение для взрослых - CISCO ASA 55xx -&gt; Content Filtering<br><br>Да, это вариант. Придется кучу зон типа freexxx.com, кучу файлов зон и т.д. Кропотливо, но неизбежно :)<br>Кстати, а нельзя никак поднять зону .com, в ней А-записи xxx.com, xxx1.com, xxx2.com... Я пробовал и так, но тогда отрубается все остальное в зоне.<br><br><br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/81990.html#2 Mon, 15 Sep 2008 14:22:50 GMT &gt;<br>&gt;Реально сделать такое? <br>&gt;<br><br>Можно заспуфить соответствующие домены - просто поднять для них master с заворотом в localhost :)<br><br>А если нужно решение для взрослых - CISCO ASA 55xx -&gt; Content Filtering<br><br>