classic.ISPforum.cz

Zdravím,

řeším problém jak zakázat youtube.com a facebook.com v pracovní době. Hledal jsem návody, ale přes žádný se mi to nepodařilo nějak vyřešit.

Mockrát děkuji za každou radu.

squid

L7.. do patternu napis jednoduse youtube pak na zaklade toho omarkuj packety a ve filter rules je dropni )

Já do toho tolik nevidím, ale nebude pak problém, když bude na seznamu třeba slovo obsahující facebook a pak se nezobrazí ani seznam?

hafieror píše:Já do toho tolik nevidím, ale nebude pak problém, když bude na seznamu třeba slovo obsahující facebook a pak se nezobrazí ani seznam?

no, bude to tak, ze kdyz se v adrese obevi slovo facebook, tak se to taky dopne... Nicmene je to jednoduche, 100% ucinne, bohuzel to ma nejake vedlejsi ucinky, ale ty se daji, myslim, prezit...

humik píše:Zdravím,

řeším problém jak zakázat youtube.com a facebook.com v pracovní době. Hledal jsem návody, ale přes žádný se mi to nepodařilo nějak vyřešit.

Mockrát děkuji za každou radu.

a preco to chces zakazovat ved dnes ti to uz kazdy obide cez proxyserver.
a zbytocne si zadrbe pocitac lebo tam nachyta milion spamov....

vem proxynu, vem manuál a máš to. Můžeš si tam napsat ať filtruje dns jména na druhý úrovni a tam kde bude facebook tak čágo. Tohle jsem kdysi zkoušel a jelo to jedna báseň. Pak už jenom dst-nat pro dst tcp/80 na port proxyny a máš to transparentní.

Mě napadla jedná možnost bez "vedlejších problému". Jestli používáte vlastní DNS server tak si nastavte A záznam pro facebook.com na 127.0.0.1 a youtube.com na 127.0.0.1 tím pádem když ti někdo bude hledat facebook nebo youtube tak ho najde, ale už se na něj nedostane, protože když na zeptá na ip facebooku tak dostane 127.0.0.1 (což je localhost a vyhodí mu to stránka nenalezena) Většinou tohle děláme, když někdo chce, aby jeho dítě nechodilo na sociální sítě.

havrosd píše:Mě napadla jedná možnost bez "vedlejších problému". Jestli používáte vlastní DNS server tak si nastavte A záznam pro facebook.com na 127.0.0.1 a youtube.com na 127.0.0.1 tím pádem když ti někdo bude hledat facebook nebo youtube tak ho najde, ale už se na něj nedostane, protože když na zeptá na ip facebooku tak dostane 127.0.0.1 (což je localhost a vyhodí mu to stránka nenalezena) Většinou tohle děláme, když někdo chce, aby jeho dítě nechodilo na sociální sítě.

A co kdyz ho nekomu chces povolit a jinemu ne? Co kdyz firma pro propagaci taky pouziva facebook? Budes mit v siti nekolik DNS? Podle me je jedine rozumna a systemova volba squid(proxy), kde si podle acl nadefinujes co povolis/zakazes.

To přesměrování pomocí DNSka je asi nejjedndušší a postihuje celou firmu (nicméně v kombinaci se schopnějším DNS serverem jde udělat, že někomu povolí a někomu ne dle IP adresy klieta). Místo 127.0.0.1 bych to možná poslal spíše na stránku s nápisem makej a nečum.
Komplexnejší je použití zmíněného proxy serveru. Raději transparentnímu proxy serveru bych se vyhýbal, některým stránkam to nědělá dobře a má to pak podivné artefakty. Řešil bych tak, že průchod ven natvrdo blokován (ve firmách je částy případ totálně všeho, ne jen 80/443), klient si musí v prohlížeči proxinu nastavit, pak jde dělat i ověření na proxině o koho jde, což se ve firemním segmentu může víc než hodit, až se bude hádat, kdo z toho počítače na to porno čuměl.
Konfiguraci prohlížečů pro proxinu řešil přes dynamickou autokonfiguraci záznamem v DNS plus příslušná konfig stránka a paralelně i DHCP záznamem. Pak to funguje transparentně i pro notebookaře, že ve firmě jim to přejde samo na proxinu a doma zase jde napřímo (funguje i případ, že VPNkem se spojím do firmy a opět to přeskočí na firemní proxinu, pokud je VPN klient ve windows dobře nastaven). V prohlížečích je nutno mít jen zaškrtnuto použít autokonfiguraci pro proxinu (IE míval automaticky, v dalších bylo třeba povolit).

net.work píše:L7.. do patternu napis jednoduse youtube pak na zaklade toho omarkuj packety a ve filter rules je dropni )

nejsem v tomhle moc sběhlý, mohl bys to napsat trochu polopaticky jak se toto udělá?

Dělat to filtrování pomocí L7 filtru bych orpavdu nevolil. Pak router většinu svého výkonu spotřebovává na pročmuchávání obsahu paketů, místo routování.
Pokud jde o firemní prostředí, tak mnohem efektivnější varianta je ta proxina v cestě a na ni to řešíčí pár pravidel.