Как закрыть одноклассников и вконтакте

Написано

Многие сисадмины думают о том, как закрыть доступ к социальным сетям, знакомствам и прочей развлекухе. Отчасти это забота не только о бюджете компании, но и о нерадивых пользователях, которым может влететь по полной программе. Проблема ограничения доступа осложняется наличием бесконечного множества доменных имен и анонимайзеров. В первом случае можно закрыть доступ по IP, во втором же бороться практически бесполезно. Предлагаю элегантное решение проблемы: радикально ограничивать скорость доступа вместо блокировки доступа к сайтам.

Вот готовое решение для Squid:

# Определяем списки доступа на основе IP-адресов

# Одноклассники acl odnoklassniki dst 5.61.16.0/21 185.16.244.0/23 185.16.246.0/24 185.16.247.0/24 195.218.169.0/24 217.20.144.0/20

# В Контакте acl vkontakte dst 82.96.196.0/24 87.240.128.0/18 87.240.128.0/19 87.240.160.0/19 93.186.224.0/21 93.186.232.0/21 95.142.192.0/20 95.142.192.0/21 95.142.200.0/21 95.142.201.0/24 95.142.202.0/24 95.213.0.0/17 95.213.0.0/18

# Mamba acl mamba dst 193.0.170.0/23

# LovePlanet acl loveplanet dst 195.68.160.6/32 195.68.160.7/32 195.68.160.50/32 195.68.160.70/32

# Определяем настройки пула delay_pools 1 delay_class 1 1 # Одноклассники, В Контакте, Mamba, LovePlanet

# Определяем принадлежность юзеров к пулу delay_access 1 allow odnoklassniki delay_access 1 allow vkontakte delay_access 1 allow mamba delay_access 1 allow loveplanet delay_access 1 deny all

# Устанавливаем ограничения по скорости delay_parameters 1 2000/2000 # 16k

Что мы имеем в результате? Скорость доступа ко всем сайтам, вместе взятым, будет равна 16Кбит/с или 2КБ/с. С одной стороны доступ есть, а с другой — фактически нет. После введения таких мер многие пользователи отказались от посещения соц.сетей в рабочее время — нервы оказались дороже 🙂

Вот списки IP-адресов и IP-сетей сайтов одноклассники, вконтакте, мамба и лавпланет в более удобоваримом виде:

odnoklassniki.ru:
5.61.16.0/21 185.16.244.0/23 185.16.246.0/24 185.16.247.0/24 195.218.169.0/24 217.20.144.0/20 2a00:b4c0::/32 2a00:b4c1::/32 2a00:b4c2::/32 2a00:b4c3::/32

vkontakte.ru:
82.96.196.0/24 87.240.128.0/18 87.240.128.0/19 87.240.160.0/19 93.186.224.0/21 93.186.232.0/21 95.142.192.0/20 95.142.192.0/21 95.142.200.0/21 95.142.201.0/24 95.142.202.0/24 95.213.0.0/17 95.213.0.0/18 2a00:bdc0::/36 2a00:bdc0:e002::/48 2a00:bdc0:e003::/48 2a00:bdc0:e004::/48 2a00:bdc0:e005::/48 2a00:bdc0:e006::/48 2a00:bdc0:f000::/36

mamba.ru:
193.0.170.0/23

loveplanet.ru:
195.68.160.6/32 195.68.160.7/32 195.68.160.50/32 195.68.160.70/32

Данные списки не претендуют на 100% точность и достоверность, вся информация кропотливо собиралась вручную.

Update 2013-12-08: Списки сетей актуализированы, добавлены сети IPv6.

Вторник, 1 декабря 2009
behemoth
Есть более простой способ, административными методами. Называется «показательная казнь» )))
Кстати. У тебя ж вроде по openid авторизация была? Куда делась?
Ответить
1. Вторник, 1 декабря 2009
  Александр Кузьмин
  Административные методы, разумеется, самые действенные 🙂 Но иногда все же жалко братьев наших меньших 😀
  А OpenID никуда не делся, просто теперь значок возле поля не показывается. Если указать сайт и перейти в другое поле, то происходит проверка, а есть ли по тому адресу OpenID сервер, и если находится, то появляется по умолчанию включенная опция аутентификации по OpenID. Зачем так было усложнять — не знаю 🙂
  Ответить
  1. Среда, 2 декабря 2009
    Дмитрий
    а что делать вот с такими списками на сайтах ???
    dostupest.ru
    bizform.ru
    zapretanet.ru
    antiblock.ru
    посему я просто блокирую
    st.cmd/main
    st.cmd/login
    st.cmd=password
    st.cmd=registration
    st.cmd=userMain
    dk;jsessionid=
    
    Ответить
    1. Среда, 2 декабря 2009
      Александр Кузьмин
      Против анонимайзеров, которые выступают в качестве прокси, все методы бессильны. Предложенный вами метод подходит только для тех анонимайзеров, которые не маскируют URL. Ну и как было сказано выше, административный ресурс — самый действенный способ.
      Ответить
    2. Вторник, 24 мая 2016
      Иван К
      а куда вы это прописываете ?
      Ответить
      1. Вторник, 24 мая 2016
        Александр Кузьмин
        В конфиг Squid
        Ответить
Четверг, 3 декабря 2009
Дмитрий
с этим трудно спорить , но согласитесь через st.cmd/login основное кол-во подобных прокси, сделанных под одноклассников — рубится на корню… если одноклассники живут на более или менее постоянных адресах , то прокси из списка…
отдельный ACL по слову proxy, тоже хорошо работает 🙂 если юзверь откапал анонимайзер без заветного слова и активно начал им пользоваться, так это уже вечером будет видно по логам…
Ответить
1. Суббота, 5 декабря 2009
  Александр Кузьмин
  Конечно соглашаюсь 🙂
  Ответить
Понедельник, 8 ноября 2010
CommiesZar
а я закрыл доступ по ключевым словам. В керио это просто. Теперь неважно, как пользователь зашел на одноклассников — так или через анонимайзер. Керио видит ключевое слово и рубит сайт.
Ответить
1. Суббота, 2 июня 2012
  Артур’chik
  Да, братцы! это лучшее средство. Я на роутере добавил в URL фильтр название скриптов и файлов CSS. И ВСЁ
  Ответить
Пятница, 17 июня 2011
Владимир
Ребята, Самый классный вариант для небольших сетей с неконтролируемым выходом в инет — через реестр винды, ключ: «HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes» Непосредственно на рабочем компе юзера вбиваем туда выше указанные IP, и юзер туда ни когда не попадет. А для удобства можно скрипт создать…. Вот только я не умею скрипты для реестра писать, но действие данного скрипта видел при заражении вирусом компа. Не мог попасть на сайты антивирусов. Если кто соображает, скинте на мыло скрипт, буду признателен. Wladimir1704@list.ru
Ответить
1. Четверг, 27 октября 2011
  vovans
  Ну, не у всех же венда на рабочих компах. У кого что, в зависимости от потребностей. Да и всё равно это неудобно.
  Но знать надо, да )) Только это не «самый классый вариант» ))
  PS за рекарчу покусал бы ((( издевательство над пользователями ((
  Ответить
  1. Понедельник, 31 октября 2011
    Александр Кузьмин
    Custom routes можно и по DHCP выдавать, между прочим. Да и в *nix можно хоть ручками, хоть скриптом добавить.
    Что до рекапчи — она хорошо отбивает кучу спама, коего с каждым годом все больше и больше.
    Ответить
Среда, 12 октября 2011
Игорь
С клбчем HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes хорошая идея!!! Я сам долго мучался с антивирусом пока не добрался до этого раздела. Сколько же там было блокированых айпишников!!!! Вручную вбивать замучаешся, действительно нужен скрипт, а то любая бабуля в бухгалтерии, которая вместо того чтобы делать отчетность сидит в соц.сетях, наберет в поисковике «не могу зайти в Одно…..» и сразу же зайдите Windows sistem32 итд
Ответить
Воскресенье, 3 июня 2012
ANATOLY
Объясните как правильно заЕбанить эти сраные «собутыльники» в реестре HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes как туда правильно вбить IPшники или дайте какой мануал на мыло agkiller@rambler.ru (пытался — чёт не получается вбить и жена бля заебала до свинского визга — больная сука на этих ебаных «собутыльниках»)
Ответить
1. Воскресенье, 3 июня 2012
  Александр Кузьмин
  В командной строке, запущенной с правами администратора, для каждого адреса из списка команду по шаблону:
  route -p add IP mask NETMASK 127.0.0.1
  Где IP — IP-адрес, например 62.105.140.210; NETMASK — маска в десятичной записи, например 255.255.255.255
  Маски в списке указаны с помощью префикса, поэтому их предварительно нужно преобразовать в десятичный вид по следующему правилу:
  /32 — 255.255.255.255
  /30 — 255.255.255.252
  /29 — 255.255.255.248
  /28 — 255.255.255.240
  /27 — 255.255.255.224
  /26 — 255.255.255.192
  /25 — 255.255.255.128
  /24 — 255.255.255.0
  /23 — 255.255.254.0
  /22 — 255.255.252.0
  /21 — 255.255.248.0
  /20 — 255.255.240.0
  Т.е. для первого адреса получим: route -p add 62.105.140.210 mask 255.255.255.255 127.0.0.1
  P.S. Список адресов я собирал в 2009 году, т.е. насколько актуален сейчас этот список я не могу сказать.
  Ответить
Суббота, 8 октября 2016
Ярослав
Нашёл таки интересный ресурс. Благодарю за расписанный ответ.
Вот я применял эти все команды, и консоль ошибок не писала. Думал — готово.
А потом гляжу, кладовщица-то наша так и сидит на своих сраных сайтиках весь день. Чё за дела, вроде все айпишники с алиасами прописывал. Зашёл как-то в ресстр у ней, открыл нужный раздел. И что вы думаете? Пусто!
Ответить
Суббота, 8 октября 2016
Ярослав
Вот, кстати, только что применил скрипт для адресов VK:
route -p add 87.240.165.86 255.255.255.255 5.200.50.28
route -p add 95.213.11.129 255.255.255.255 5.200.50.28
route -p add 87.240.165.91 255.255.255.255 5.200.50.28
После пишу в браузере vk.com и… открывается сраный контакт…. чё за дела?
Ответить