Как закрыть одноклассников и вконтакте

Многие сисадмины думают о том, как закрыть доступ к социальным сетям, знакомствам и прочей развлекухе. Отчасти это забота не только о бюджете компании, но и о нерадивых пользователях, которым может влететь по полной программе. Проблема ограничения доступа осложняется наличием бесконечного множества доменных имен и анонимайзеров. В первом случае можно закрыть доступ по IP, во втором же бороться практически бесполезно. Предлагаю элегантное решение проблемы: радикально ограничивать скорость доступа вместо блокировки доступа к сайтам.

Вот готовое решение для Squid:

# Определяем списки доступа на основе IP-адресов

# Одноклассники
acl odnoklassniki dst 5.61.16.0/21 185.16.244.0/23 185.16.246.0/24 185.16.247.0/24 195.218.169.0/24 217.20.144.0/20

# В Контакте
acl vkontakte dst 82.96.196.0/24 87.240.128.0/18 87.240.128.0/19 87.240.160.0/19 93.186.224.0/21 93.186.232.0/21 95.142.192.0/20 95.142.192.0/21 95.142.200.0/21 95.142.201.0/24 95.142.202.0/24 95.213.0.0/17 95.213.0.0/18

# Mamba
acl mamba dst 193.0.170.0/23

# LovePlanet
acl loveplanet dst 195.68.160.6/32 195.68.160.7/32 195.68.160.50/32 195.68.160.70/32

# Определяем настройки пула
delay_pools 1
delay_class 1 1 # Одноклассники, В Контакте, Mamba, LovePlanet

# Определяем принадлежность юзеров к пулу
delay_access 1 allow odnoklassniki
delay_access 1 allow vkontakte
delay_access 1 allow mamba
delay_access 1 allow loveplanet
delay_access 1 deny all

# Устанавливаем ограничения по скорости
delay_parameters 1 2000/2000 # 16k

Что мы имеем в результате? Скорость доступа ко всем сайтам, вместе взятым, будет равна 16Кбит/с или 2КБ/с. С одной стороны доступ есть, а с другой — фактически нет. После введения таких мер многие пользователи отказались от посещения соц.сетей в рабочее время — нервы оказались дороже :)

Вот списки IP-адресов и IP-сетей сайтов одноклассники, вконтакте, мамба и лавпланет в более удобоваримом виде:

odnoklassniki.ru:
5.61.16.0/21
185.16.244.0/23
185.16.246.0/24
185.16.247.0/24
195.218.169.0/24
217.20.144.0/20
2a00:b4c0::/32
2a00:b4c1::/32
2a00:b4c2::/32
2a00:b4c3::/32

vkontakte.ru:
82.96.196.0/24
87.240.128.0/18
87.240.128.0/19
87.240.160.0/19
93.186.224.0/21
93.186.232.0/21
95.142.192.0/20
95.142.192.0/21
95.142.200.0/21
95.142.201.0/24
95.142.202.0/24
95.213.0.0/17
95.213.0.0/18
2a00:bdc0::/36
2a00:bdc0:e002::/48
2a00:bdc0:e003::/48
2a00:bdc0:e004::/48
2a00:bdc0:e005::/48
2a00:bdc0:e006::/48
2a00:bdc0:f000::/36

mamba.ru:
193.0.170.0/23

loveplanet.ru:
195.68.160.6/32
195.68.160.7/32
195.68.160.50/32
195.68.160.70/32

Данные списки не претендуют на 100% точность и достоверность, вся информация кропотливо собиралась вручную.

Update 2013-12-08: Списки сетей актуализированы, добавлены сети IPv6.

Как закрыть одноклассников и вконтакте: 14 комментариев

  1. behemoth

    Есть более простой способ, административными методами. Называется «показательная казнь» )))
    Кстати. У тебя ж вроде по openid авторизация была? Куда делась?

    1. Александр Кузьмин Автор записи

      Административные методы, разумеется, самые действенные :) Но иногда все же жалко братьев наших меньших :D

      А OpenID никуда не делся, просто теперь значок возле поля не показывается. Если указать сайт и перейти в другое поле, то происходит проверка, а есть ли по тому адресу OpenID сервер, и если находится, то появляется по умолчанию включенная опция аутентификации по OpenID. Зачем так было усложнять — не знаю :)

      1. Дмитрий

        а что делать вот с такими списками на сайтах ???
        dostupest.ru
        bizform.ru
        zapretanet.ru
        antiblock.ru

        посему я просто блокирую
        st.cmd/main
        st.cmd/login
        st.cmd=password
        st.cmd=registration
        st.cmd=userMain
        dk;jsessionid=

        1. Александр Кузьмин Автор записи

          Против анонимайзеров, которые выступают в качестве прокси, все методы бессильны. Предложенный вами метод подходит только для тех анонимайзеров, которые не маскируют URL. Ну и как было сказано выше, административный ресурс — самый действенный способ.

  2. Дмитрий

    с этим трудно спорить , но согласитесь через st.cmd/login основное кол-во подобных прокси, сделанных под одноклассников — рубится на корню… если одноклассники живут на более или менее постоянных адресах , то прокси из списка…
    отдельный ACL по слову proxy, тоже хорошо работает :) если юзверь откапал анонимайзер без заветного слова и активно начал им пользоваться, так это уже вечером будет видно по логам…

  3. CommiesZar

    а я закрыл доступ по ключевым словам. В керио это просто. Теперь неважно, как пользователь зашел на одноклассников — так или через анонимайзер. Керио видит ключевое слово и рубит сайт.

  4. Владимир

    Ребята, Самый классный вариант для небольших сетей с неконтролируемым выходом в инет — через реестр винды, ключ: «HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes» Непосредственно на рабочем компе юзера вбиваем туда выше указанные IP, и юзер туда ни когда не попадет. А для удобства можно скрипт создать…. Вот только я не умею скрипты для реестра писать, но действие данного скрипта видел при заражении вирусом компа. Не мог попасть на сайты антивирусов. Если кто соображает, скинте на мыло скрипт, буду признателен. Wladimir1704@list.ru

    1. vovans

      Ну, не у всех же венда на рабочих компах. У кого что, в зависимости от потребностей. Да и всё равно это неудобно.

      Но знать надо, да )) Только это не «самый классый вариант» ))

      PS за рекарчу покусал бы ((( издевательство над пользователями ((

  5. Игорь

    С клбчем HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes хорошая идея!!! Я сам долго мучался с антивирусом пока не добрался до этого раздела. Сколько же там было блокированых айпишников!!!! Вручную вбивать замучаешся, действительно нужен скрипт, а то любая бабуля в бухгалтерии, которая вместо того чтобы делать отчетность сидит в соц.сетях, наберет в поисковике «не могу зайти в Одно…..» и сразу же зайдите Windows sistem32 итд

  6. ANATOLY

    Объясните как правильно заЕбанить эти сраные «собутыльники» в реестре HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes как туда правильно вбить IPшники или дайте какой мануал на мыло agkiller@rambler.ru (пытался — чёт не получается вбить и жена бля заебала до свинского визга — больная сука на этих ебаных «собутыльниках»)

    1. Александр Кузьмин Автор записи

      В командной строке, запущенной с правами администратора, для каждого адреса из списка команду по шаблону:
      route -p add IP mask NETMASK 127.0.0.1
      Где IP — IP-адрес, например 62.105.140.210; NETMASK — маска в десятичной записи, например 255.255.255.255
      Маски в списке указаны с помощью префикса, поэтому их предварительно нужно преобразовать в десятичный вид по следующему правилу:
      /32 — 255.255.255.255
      /30 — 255.255.255.252
      /29 — 255.255.255.248
      /28 — 255.255.255.240
      /27 — 255.255.255.224
      /26 — 255.255.255.192
      /25 — 255.255.255.128
      /24 — 255.255.255.0
      /23 — 255.255.254.0
      /22 — 255.255.252.0
      /21 — 255.255.248.0
      /20 — 255.255.240.0

      Т.е. для первого адреса получим: route -p add 62.105.140.210 mask 255.255.255.255 127.0.0.1

      P.S. Список адресов я собирал в 2009 году, т.е. насколько актуален сейчас этот список я не могу сказать.

Добавить комментарий