Ограничение доступа к определенным ресурсам по времени

BigD · February 3, 2017

Приветствую. Есть ли уже какой-то стандартный способ по времени бокировать доступ к каким-то сетевым ресурсам (например, youtube.com и его поддомены) в рабочее время? Вечером и в выходные - можно.

Le ecureuil · February 3, 2017

1 час назад, BigD сказал:

Приветствую. Есть ли уже какой-то стандартный способ по времени бокировать доступ к каким-то сетевым ресурсам (например, youtube.com и его поддомены) в рабочее время? Вечером и в выходные - можно.

Есть поддержка расписаний в access-list в 2.09, но это довольно муторно, учитывая сколько IP-адресов у youtube, и как часто они меняются.

BigD · February 6, 2017

On 2/3/2017 at 10:49 PM, Le ecureuil said:

Есть поддержка расписаний в access-list в 2.09, но это довольно муторно, учитывая сколько IP-адресов у youtube, и как часто они меняются.

А если все же про блокирование по маске URL говорить? Только в сторону proxy копать?

IgaX · February 8, 2017

м.б. можно было бы на ip host расписание прикрутить и организовать костыль с заглушкой или в пустоту .. если заодно прикрутить перехват, то могло бы стать универсальным.

для большинства подошло бы (в домашнем варианте).

vasek00 · February 8, 2017

Можно было бы что-то из "iptables ... --string ..... --algo ..." но текущ. релизы не позволяют.

Есть интересный пример по фильтрации запросов DNS на Google http://denis-aikidoka.livejournal.com/82604.html

Le ecureuil · February 9, 2017

14 часа назад, vasek00 сказал:

Можно было бы что-то из "iptables ... --string ..... --algo ..." но текущ. релизы не позволяют.

Есть интересный пример по фильтрации запросов DNS на Google http://denis-aikidoka.livejournal.com/82604.html

В 2.09 и 2.08 netfilter match string присутствует.

vasek00 · February 9, 2017

2 часа назад, Le ecureuil сказал:

В 2.09 и 2.08 netfilter match string присутствует.

Да он есть но нет algo, да и не получилось у меня со string, можно пару примеров (для синтаксиса).

Le ecureuil · February 9, 2017

1 час назад, vasek00 сказал:

Да он есть но нет algo, да и не получилось у меня со string, можно пару примеров (для синтаксиса).

Проверьте в пакете ndm-mod-opkg-kmod-netfilter, там должны быть ts_bm.ko и ts_kmp.ko.

vasek00 · February 9, 2017

52 минуты назад, Le ecureuil сказал:

Проверьте в пакете ndm-mod-opkg-kmod-netfilter, там должны быть ts_bm.ko и ts_kmp.ko.

Пакет стоит v2.09(AAFG.2)A3 компонентов ts_bm.ko и ts_kmp.ko не увидел.

Le ecureuil · February 9, 2017

1 час назад, vasek00 сказал:

Пакет стоит v2.09(AAFG.2)A3 компонентов ts_bm.ko и ts_kmp.ko не увидел.

Покажите вывод из CLI команды

>show drivers

vasek00 · February 9, 2017

3 часа назад, Le ecureuil сказал:

Покажите вывод из CLI команды >show drivers

Вывод

Скрытый текст

(config)> show drivers
module:
name: esp4_hw
size: 2529
module:
name: crypto_k
size: 41774
used: 1
subs: esp4_hw
module:
name: fastvpn
size: 128786
module:
name: hw_nat
size: 23772
module:
name: igmpsn
size: 8161
args: pcfg=eth2.1:ra0 wan_port=4
module:
name: rt539x_ap2
size: 696520
module:
name: ntc
size: 10656
used: 2
module:
name: rtsoc_eth
size: 43759
module:
name: rndis_host
size: 5226
module:
name: ip_set_hash_ip
size: 19425
module:
name: ip_set_hash_ipportip
size: 22433
module:
name: ip_set_hash_net
size: 23969
module:
name: snd_pcm_oss
size: 35074
module:
name: ip_set_hash_ipport
size: 21073
module:
name: snd_usb_audio
size: 80662
module:
name: cdc_ether
size: 4605
used: 1
subs: rndis_host
module:
name: ip_set_hash_ipportnet
size: 28529
module:
name: ip_set_bitmap_port
size: 5073
module:
name: xt_set
size: 3265
module:
name: huawei_cdc_ncm
size: 1585
module:
name: snd_pcm
size: 55102
used: 2
subs: snd_pcm_oss,snd_usb_audio
module:
name: asix
size: 12129
module:
name: option
size: 31425
module:
name: uvcvideo
size: 61033
module:
name: ip_set_bitmap_ipmac
size: 5873
module:
name: cdc_ncm
size: 14745
used: 1
subs: huawei_cdc_ncm
module:
name: ip_set_hash_netiface
size: 27105
module:
name: ip_set_bitmap_ip
size: 5985
module:
name: ip_set_hash_netport
size: 26625
module:
name: usb_wwan
size: 5162
used: 1
subs: option
module:
name: ip_set_list_set
size: 6209
module:
name: usbextras
size: 1137
module:
name: authenc
size: 5649
module:
name: snd_usbmidi_lib
size: 16187
used: 1
subs: snd_usb_audio
module:
name: i2c_dev
size: 5025
used: 0
module:
name: nls_utf8
size: 865
used: 1
module:
name: snd_seq_midi
size: 3665
module:
name: usbip_host
size: 13176
module:
name: ip_set
size: 20223
used: 12
subs: ip_set_hash_ip,ip_set_hash_ipportip,
ip_set_hash_net,ip_set_hash_ipport,ip_set_hash_ipportnet,
ip_set_bitmap_port,xt_set,ip_set_bitmap_ipmac,
ip_set_hash_netiface,ip_set_bitmap_ip,
ip_set_hash_netport,ip_set_list_set
module:
name: kalmia
size: 2833
module:
name: nfsd
size: 80414
module:
name: thfsplus
size: 82232
module:
name: snd_hwdep
size: 4687
used: 1
subs: snd_usb_audio
module:
name: nf_nat_rtsp
size: 4001
module:
name: nls_cp1251
size: 3665
module:
name: nfs
size: 125314
module:
name: v4l2_common
size: 4843
module:
name: snd_mixer_oss
size: 13530
used: 1
subs: snd_pcm_oss
module:
name: usb_storage
size: 39193
used: 2
module:
name: cdc_acm
size: 13649
module:
name: nfnetlink_log
size: 6307
module:
name: usblp
size: 9521
module:
name: videobuf2_vmalloc
size: 1826
used: 1
subs: uvcvideo
module:
name: dm9601
size: 9632
module:
name: snd_rawmidi
size: 17044
used: 2
subs: snd_usbmidi_lib,snd_seq_midi
module:
name: arptable_filter
size: 593
module:
name: sd_mod
size: 26257
used: 3
module:
name: ohci_hcd
size: 15873
module:
name: sr_mod
size: 12468
module:
name: nls_cp437
size: 4433
module:
name: hw_cdc_net
size: 28872
module:
name: lockd
size: 54493
used: 2
subs: nfsd,nfs
module:
name: sierra
size: 7457
module:
name: sg
size: 16481
module:
name: snd_seq_midi_event
size: 4272
used: 1
subs: snd_seq_midi
module:
name: usbnet
size: 18298
used: 7
subs: rndis_host,cdc_ether,huawei_cdc_ncm,asix,cdc_ncm,
kalmia,dm9601
module:
name: ext4
size: 280066
used: 1
module:
name: snd_seq
size: 47653
used: 2
subs: snd_seq_midi,snd_seq_midi_event
module:
name: tfat
size: 186660
module:
name: nf_nat_sip
size: 6113
module:
name: nfnetlink_queue
size: 6945
module:
name: deflate
size: 1457
module:
name: ipcomp
size: 1745
module:
name: ebtable_broute
size: 753
module:
name: snd_seq_device
size: 4734
used: 3
subs: snd_seq_midi,snd_rawmidi,snd_seq
module:
name: nls_cp866
size: 3921
module:
name: snd_timer
size: 16047
used: 2
subs: snd_pcm,snd_seq
module:
name: videodev
size: 75877
used: 2
subs: uvcvideo,v4l2_common
module:
name: tntfs
size: 468795
used: 2
module:
name: pl2303
size: 7601
module:
name: ebtable_filter
size: 913
module:
name: jffs2
size: 95307
used: 1
module:
name: cdc_wdm
size: 8902
used: 1
subs: huawei_cdc_ncm
module:
name: snd
size: 41159
used: 10
subs: snd_pcm_oss,snd_usb_audio,snd_pcm,snd_usbmidi_lib,
snd_hwdep,snd_mixer_oss,snd_rawmidi,snd_seq,
snd_seq_device,snd_timer
module:
name: ebtable_nat
size: 913
module:
name: ehci_hcd
size: 34961
module:
name: xt_TPROXY
size: 4017
module:
name: nf_nat_ftp
size: 1121
module:
name: cifs
size: 248206
module:
name: nf_conntrack_netlink
size: 13521
module:
name: ftdi_sio
size: 31505
module:
name: vhci_hcd
size: 12951
module:
name: usbserial
size: 18025
used: 5
subs: option,usb_wwan,sierra,pl2303,ftdi_sio
module:
name: nf_nat_pptp
size: 1473
module:
name: nf_nat_h323
size: 5105
module:
name: usbcore
size: 119023
used: 28
subs: rndis_host,snd_usb_audio,cdc_ether,huawei_cdc_ncm,
asix,option,uvcvideo,cdc_ncm,usb_wwan,usbextras,
snd_usbmidi_lib,usbip_host,kalmia,usb_storage,cdc_acm,
usblp,dm9601,ohci_hcd,hw_cdc_net,sierra,usbnet,pl2303,
cdc_wdm,ehci_hcd,ftdi_sio,vhci_hcd,usbserial
module:
name: nf_conntrack_pptp
size: 3473
used: 1
subs: nf_nat_pptp
module:
name: ebt_redirect
size: 945
module:
name: xt_iprange
size: 1073
module:
name: sch_tbf
size: 3809
module:
name: ipt_ULOG
size: 4033
module:
name: ip6t_rt
size: 1633
module:
name: xt_connbytes
size: 1713
module:
name: xt_addrtype
size: 2161
module:
name: xt_recent
size: 6593
module:
name: cls_tcindex
size: 4353
module:
name: ip6t_mh
size: 769
module:
name: xt_string
size: 817
module:
name: sch_red
size: 4833
module:
name: cdrom
size: 33142
used: 1
subs: sr_mod
module:
name: resetnds
size: 851
module:
name: hmac
size: 2353
module:
name: ebt_dnat
size: 865
module:
name: des_generic
size: 18218
module:
name: ebt_802_3
size: 705
module:
name: mtdoops_proc
size: 5818
module:
name: xfrm4_mode_beet
size: 1521
module:
name: nacct
size: 10334
module:
name: em_meta
size: 4833
module:
name: xt_comment
size: 497
module:
name: nf_tproxy_core
size: 728
used: 1
subs: xt_TPROXY,[permanent]
module:
name: cls_u32
size: 6033
module:
name: ebt_arp
size: 1521
module:
name: act_ipt
size: 2801
module:
name: xt_helper
size: 913
module:
name: sha256_generic
size: 9249
module:
name: input_core
size: 23287
module:
name: xt_ecn
size: 1377
module:
name: xt_socket
size: 2849
module:
name: ipt_ECN
size: 1393
module:
name: em_nbyte
size: 753
module:
name: sch_fq_codel
size: 6993
module:
name: videobuf2_core
size: 18217
used: 1
subs: uvcvideo
module:
name: xfrm_ipcomp
size: 3470
used: 1
subs: ipcomp
module:
name: cls_basic
size: 3345
module:
name: rt_timer_wdg
size: 577
module:
name: ebt_ip
size: 1329
module:
name: nf_conntrack_h323
size: 35328
used: 1
subs: nf_nat_h323
module:
name: xt_esp
size: 801
module:
name: ebt_mark
size: 753
module:
name: ebt_arpreply
size: 1073
module:
name: zlib_deflate
size: 19849
used: 2
subs: deflate,jffs2
module:
name: ipt_ah
size: 737
module:
name: jbd2
size: 51870
used: 1
subs: ext4
module:
name: nls_base
size: 5567
used: 9
subs: nls_utf8,thfsplus,nls_cp1251,nls_cp437,tfat,
nls_cp866,tntfs,cifs,usbcore
module:
name: ip6t_ipv6header
size: 1217
module:
name: eoip
size: 6961
module:
name: ebt_ip6
size: 1633
module:
name: ebt_among
size: 2289
module:
name: aes_generic
size: 29930
module:
name: xt_hl
size: 785
module:
name: xt_hashlimit
size: 6369
module:
name: sunrpc
size: 149375
used: 3
subs: nfsd,nfs,lockd
module:
name: pppol2tp
size: 8177
module:
name: sch_sfq
size: 9313
module:
name: sch_gred
size: 6993
module:
name: xt_dscp
size: 1009
module:
name: xfrm_user
size: 21409
module:
name: nf_conntrack_proto_gre
size: 2847
used: 1
subs: nf_conntrack_pptp
module:
name: sch_htb
size: 13057
module:
name: phr
size: 49572
used: 3
subs: rt539x_ap2
module:
name: mbcache
size: 5166
used: 1
subs: ext4
module:
name: nf_conntrack_rtsp
size: 4657
used: 1
subs: nf_nat_rtsp
module:
name: xt_length
size: 721
module:
name: nf_conntrack_ftp
size: 5265
used: 1
subs: nf_nat_ftp
module:
name: usbip_core
size: 5266
used: 2
subs: usbip_host,vhci_hcd
module:
name: ip6t_ah
size: 881
module:
name: ipt_ROUTE
size: 2977
module:
name: em_u32
size: 577
module:
name: xt_policy
size: 2017
module:
name: af_key
size: 26481
module:
name: ebt_pkttype
size: 561
module:
name: ebt_vlan
size: 945
module:
name: cls_flow
size: 5633
module:
name: xt_physdev
size: 1377
module:
name: ip6t_eui64
size: 721
module:
name: exportfs
size: 3432
used: 1
subs: nfsd
module:
name: ip_gre
size: 13633
module:
name: xt_CLASSIFY
size: 577
module:
name: sch_prio
size: 3713
module:
name: em_text
size: 1505
module:
name: ebt_mark_m
size: 625
module:
name: zlib_inflate
size: 13891
used: 2
subs: deflate,jffs2
module:
name: xt_owner
size: 737
module:
name: nf_conntrack_sip
size: 17742
used: 1
subs: nf_nat_sip
module:
name: xt_statistic
size: 865
module:
name: ip6t_frag
size: 945
module:
name: loop
size: 12497
module:
name: xfrm4_mode_tunnel
size: 1393
module:
name: xt_connmark
size: 1121
module:
name: xt_pkttype
size: 689
module:
name: md5
size: 1425
module:
name: em_cmp
size: 817
module:
name: sch_ingress
size: 1041
module:
name: xt_DSCP
size: 1617
module:
name: soundcore
size: 4733
used: 1
subs: snd
module:
name: scsi_mod
size: 78200
used: 4
subs: usb_storage,sd_mod,sr_mod,sg
module:
name: i2c_core
size: 14945
used: 3
subs: i2c_dev,v4l2_common,videodev
module:
name: cls_fw
size: 3441
module:
name: xt_quota
size: 801
module:
name: videobuf2_memops
size: 1540
used: 1
subs: videobuf2_vmalloc
module:
name: ebt_stp
size: 1889
module:
name: crypto_null
size: 1665
module:
name: sch_hfsc
size: 15201
module:
name: xfrm4_mode_transport
size: 833
module:
name: cbc
size: 1889
module:
name: sch_codel
size: 4545
module:
name: aead
size: 4561
used: 2
subs: esp4_hw,authenc
module:
name: usb_common
size: 579
used: 1
subs: usbcore
module:
name: cls_route
size: 5761
module:
name: nfnetlink
size: 2280
used: 4
subs: ip_set,nfnetlink_log,nfnetlink_queue,
nf_conntrack_netlink
module:
name: xt_TEE
size: 2433
module:
name: snd_page_alloc
size: 4930
used: 1
subs: snd_pcm
module:
name: nf_nat_proto_gre
size: 993
used: 1
subs: nf_nat_pptp
module:
name: ebt_snat
size: 881
module:
name: arp_tables
size: 9666
used: 1
subs: arptable_filter
module:
name: sch_dsmark
size: 4001
module:
name: md4
size: 2881
module:
name: arpt_mangle
size: 929
module:
name: fuse
size: 62670
module:
name: act_police
size: 3793
module:
name: ebtables
size: 16726
used: 3
subs: ebtable_broute,ebtable_filter,ebtable_nat
module:
name: sch_teql
size: 4161
module:
name: ah4
size: 4449
module:
name: ebt_limit
size: 1313
module:
name: xfrm4_tunnel
size: 1073
module:
name: ip6t_hbh
size: 1361
module:
name: act_mirred
size: 2929
module:
name: act_skbedit
size: 1969
(config)>

string есть и в Extii

Le ecureuil · February 9, 2017

Странно как-то, но ладно.

В пятничной сборке проверьте, должно появиться.

vasek00 · February 9, 2017

48 минут назад, Le ecureuil сказал:

Странно как-то, но ладно.

В пятничной сборке проверьте, должно появиться.

СПС

vasek00 · February 11, 2017

2.09(AAFG.3)A3 - ts_bm, ts_kmp имеются.

/ # iptables -A INPUT -p udp --dport 53 -m string --algo bm --hex-string "|00 01 00 00 00 00 00 01 06|google|03|com|00 00 02|" -j DROP
/ # iptables -nvL | grep STRING
    0     0 DROP       udp  --  *   *   0.0.0.0/0   0.0.0.0/0   udp dpt:53 STRING match "|000100000000000106676f6f676c6503636f6d000002|" ALGO name bm TO 65535
/ #

Edited February 11, 2017 by vasek00

Le ecureuil · February 11, 2017

23 минуты назад, vasek00 сказал:

2.09(AAFG.3)A3 - ts_bm, ts_kmp имеются.


/ # iptables -A INPUT -p udp --dport 53 -m string --algo bm --hex-string "|00 01 00 00 00 00 00 01 06|google|03|com|00 00 02|" -j DROP
/ # iptables -nvL | grep STRING
    0     0 DROP       udp  --  *   *   0.0.0.0/0   0.0.0.0/0   udp dpt:53 STRING match "|000100000000000106676f6f676c6503636f6d000002|" ALGO name bm TO 65535
/ #

Ну и славно

vasek00 · February 11, 2017

В 03.02.2017 в 21:47, BigD сказал:

Приветствую. Есть ли уже какой-то стандартный способ по времени бокировать доступ к каким-то сетевым ресурсам (например, youtube.com и его поддомены) в рабочее время? Вечером и в выходные - можно.

Про youtube.com по поводу IP адрес и их кол-во, можно посмотреть (нужен установленный whois)

/ # whois -h whois.radb.net '!gAS15169' | grep /
....
173.194.0.0/24 173.194.1.0/24 173.194.2.0/23 173.194.2.0/24 173.194.3.0/24 173.194.4.0/23 173.194.4.0/24 ...
173.194.44.0/23 173.194.44.0/24...
173.194.252.0/23 173.194.252.0/24 173.194.253.0/24 173.194.254.0/23 173.194.254.0/24 173.194.255.0/24 ...
...

где AS15169 - orign запись данной зоны, хотя по "nslookup youtube.com" их всего-то

Name:      youtube.com
Address 1: 173.194.44.66
Address 2: 173.194.44.69
Address 3: 173.194.44.65
Address 4: 173.194.44.68
Address 5: 173.194.44.72
Address 6: 173.194.44.73
Address 7: 173.194.44.71
Address 8: 173.194.44.64
Address 9: 173.194.44.70
Address 10: 173.194.44.67
Address 11: 173.194.44.78
Address 12: 2a00:1450:4010:c03::88 lr-in-x88.1e100.net

Да и "youtube" адреса пересекаются с "google"

Потом говорят IP адресов v4 не хватает.

Edited February 11, 2017 by vasek00

Sign In

Ограничение доступа к определенным ресурсам по времени

Question

Link to comment

Share on other sites

15 answers to this question

Recommended Posts

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Join the conversation

Recently Browsing 0 members