Многие сисадмины думают о том, как закрыть доступ к социальным сетям, знакомствам и прочей развлекухе. Отчасти это забота не только о бюджете компании, но и о нерадивых пользователях, которым может влететь по полной программе. Проблема ограничения доступа осложняется наличием бесконечного множества доменных имен и анонимайзеров. В первом случае можно закрыть доступ по IP, во втором же бороться практически бесполезно. Предлагаю элегантное решение проблемы: радикально ограничивать скорость доступа вместо блокировки доступа к сайтам.
Вот готовое решение для Squid:
# Определяем списки доступа на основе IP-адресов
# Одноклассники
acl odnoklassniki dst 5.61.16.0/21 185.16.244.0/23 185.16.246.0/24 185.16.247.0/24 195.218.169.0/24 217.20.144.0/20
# В Контакте
acl vkontakte dst 82.96.196.0/24 87.240.128.0/18 87.240.128.0/19 87.240.160.0/19 93.186.224.0/21 93.186.232.0/21 95.142.192.0/20 95.142.192.0/21 95.142.200.0/21 95.142.201.0/24 95.142.202.0/24 95.213.0.0/17 95.213.0.0/18
# Mamba
acl mamba dst 193.0.170.0/23
# LovePlanet
acl loveplanet dst 195.68.160.6/32 195.68.160.7/32 195.68.160.50/32 195.68.160.70/32
# Определяем настройки пула
delay_pools 1
delay_class 1 1 # Одноклассники, В Контакте, Mamba, LovePlanet
# Определяем принадлежность юзеров к пулу
delay_access 1 allow odnoklassniki
delay_access 1 allow vkontakte
delay_access 1 allow mamba
delay_access 1 allow loveplanet
delay_access 1 deny all
# Устанавливаем ограничения по скорости
delay_parameters 1 2000/2000 # 16k
Что мы имеем в результате? Скорость доступа ко всем сайтам, вместе взятым, будет равна 16Кбит/с или 2КБ/с. С одной стороны доступ есть, а с другой — фактически нет. После введения таких мер многие пользователи отказались от посещения соц.сетей в рабочее время — нервы оказались дороже 🙂
Вот списки IP-адресов и IP-сетей сайтов одноклассники, вконтакте, мамба и лавпланет в более удобоваримом виде:
odnoklassniki.ru:
5.61.16.0/21
185.16.244.0/23
185.16.246.0/24
185.16.247.0/24
195.218.169.0/24
217.20.144.0/20
2a00:b4c0::/32
2a00:b4c1::/32
2a00:b4c2::/32
2a00:b4c3::/32
vkontakte.ru:
82.96.196.0/24
87.240.128.0/18
87.240.128.0/19
87.240.160.0/19
93.186.224.0/21
93.186.232.0/21
95.142.192.0/20
95.142.192.0/21
95.142.200.0/21
95.142.201.0/24
95.142.202.0/24
95.213.0.0/17
95.213.0.0/18
2a00:bdc0::/36
2a00:bdc0:e002::/48
2a00:bdc0:e003::/48
2a00:bdc0:e004::/48
2a00:bdc0:e005::/48
2a00:bdc0:e006::/48
2a00:bdc0:f000::/36
mamba.ru:
193.0.170.0/23
loveplanet.ru:
195.68.160.6/32
195.68.160.7/32
195.68.160.50/32
195.68.160.70/32
Данные списки не претендуют на 100% точность и достоверность, вся информация кропотливо собиралась вручную.
Update 2013-12-08: Списки сетей актуализированы, добавлены сети IPv6.
Есть более простой способ, административными методами. Называется «показательная казнь» )))
Кстати. У тебя ж вроде по openid авторизация была? Куда делась?
Административные методы, разумеется, самые действенные 🙂 Но иногда все же жалко братьев наших меньших 😀
А OpenID никуда не делся, просто теперь значок возле поля не показывается. Если указать сайт и перейти в другое поле, то происходит проверка, а есть ли по тому адресу OpenID сервер, и если находится, то появляется по умолчанию включенная опция аутентификации по OpenID. Зачем так было усложнять — не знаю 🙂
а что делать вот с такими списками на сайтах ???
dostupest.ru
bizform.ru
zapretanet.ru
antiblock.ru
посему я просто блокирую
st.cmd/main
st.cmd/login
st.cmd=password
st.cmd=registration
st.cmd=userMain
dk;jsessionid=
Против анонимайзеров, которые выступают в качестве прокси, все методы бессильны. Предложенный вами метод подходит только для тех анонимайзеров, которые не маскируют URL. Ну и как было сказано выше, административный ресурс — самый действенный способ.
а куда вы это прописываете ?
В конфиг Squid
с этим трудно спорить , но согласитесь через st.cmd/login основное кол-во подобных прокси, сделанных под одноклассников — рубится на корню… если одноклассники живут на более или менее постоянных адресах , то прокси из списка…
отдельный ACL по слову proxy, тоже хорошо работает 🙂 если юзверь откапал анонимайзер без заветного слова и активно начал им пользоваться, так это уже вечером будет видно по логам…
Конечно соглашаюсь 🙂
а я закрыл доступ по ключевым словам. В керио это просто. Теперь неважно, как пользователь зашел на одноклассников — так или через анонимайзер. Керио видит ключевое слово и рубит сайт.
Да, братцы! это лучшее средство. Я на роутере добавил в URL фильтр название скриптов и файлов CSS. И ВСЁ
Ребята, Самый классный вариант для небольших сетей с неконтролируемым выходом в инет — через реестр винды, ключ: «HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes» Непосредственно на рабочем компе юзера вбиваем туда выше указанные IP, и юзер туда ни когда не попадет. А для удобства можно скрипт создать…. Вот только я не умею скрипты для реестра писать, но действие данного скрипта видел при заражении вирусом компа. Не мог попасть на сайты антивирусов. Если кто соображает, скинте на мыло скрипт, буду признателен. Wladimir1704@list.ru
Ну, не у всех же венда на рабочих компах. У кого что, в зависимости от потребностей. Да и всё равно это неудобно.
Но знать надо, да )) Только это не «самый классый вариант» ))
PS за рекарчу покусал бы ((( издевательство над пользователями ((
Custom routes можно и по DHCP выдавать, между прочим. Да и в *nix можно хоть ручками, хоть скриптом добавить.
Что до рекапчи — она хорошо отбивает кучу спама, коего с каждым годом все больше и больше.
С клбчем HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes хорошая идея!!! Я сам долго мучался с антивирусом пока не добрался до этого раздела. Сколько же там было блокированых айпишников!!!! Вручную вбивать замучаешся, действительно нужен скрипт, а то любая бабуля в бухгалтерии, которая вместо того чтобы делать отчетность сидит в соц.сетях, наберет в поисковике «не могу зайти в Одно…..» и сразу же зайдите Windows sistem32 итд
Объясните как правильно заЕбанить эти сраные «собутыльники» в реестре HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes как туда правильно вбить IPшники или дайте какой мануал на мыло agkiller@rambler.ru (пытался — чёт не получается вбить и жена бля заебала до свинского визга — больная сука на этих ебаных «собутыльниках»)
В командной строке, запущенной с правами администратора, для каждого адреса из списка команду по шаблону:
route -p add IP mask NETMASK 127.0.0.1
Где IP — IP-адрес, например 62.105.140.210; NETMASK — маска в десятичной записи, например 255.255.255.255
Маски в списке указаны с помощью префикса, поэтому их предварительно нужно преобразовать в десятичный вид по следующему правилу:
/32 — 255.255.255.255
/30 — 255.255.255.252
/29 — 255.255.255.248
/28 — 255.255.255.240
/27 — 255.255.255.224
/26 — 255.255.255.192
/25 — 255.255.255.128
/24 — 255.255.255.0
/23 — 255.255.254.0
/22 — 255.255.252.0
/21 — 255.255.248.0
/20 — 255.255.240.0
Т.е. для первого адреса получим: route -p add 62.105.140.210 mask 255.255.255.255 127.0.0.1
P.S. Список адресов я собирал в 2009 году, т.е. насколько актуален сейчас этот список я не могу сказать.
Нашёл таки интересный ресурс. Благодарю за расписанный ответ.
Вот я применял эти все команды, и консоль ошибок не писала. Думал — готово.
А потом гляжу, кладовщица-то наша так и сидит на своих сраных сайтиках весь день. Чё за дела, вроде все айпишники с алиасами прописывал. Зашёл как-то в ресстр у ней, открыл нужный раздел. И что вы думаете? Пусто!
Вот, кстати, только что применил скрипт для адресов VK:
route -p add 87.240.165.86 255.255.255.255 5.200.50.28
route -p add 95.213.11.129 255.255.255.255 5.200.50.28
route -p add 87.240.165.91 255.255.255.255 5.200.50.28
После пишу в браузере vk.com и… открывается сраный контакт…. чё за дела?