Форум системных администраторов
http://sysadmins.ws/

блокирует не запрещенные сайты
http://sysadmins.ws/viewtopic.php?f=88&t=1761
Страница 1 из 1

Автор:  50baksov [ 31 июл 2013, 18:45 ]
Заголовок сообщения:  блокирует не запрещенные сайты

Доброе время суток.
Имеется сервер windows 2008 на нем установлен kerio control 7.2.0 build 3028
Пользователи авторизуются по IP адресу.
Все ходят в интернет через NAT. В Группы URL создал групу запрещенных сайтов ( выглядит это так *vk* или *mail*)
В Политика HTTP есть правило которое запрещает всем пользователям сайты находящиеся в этой группе. Проблема в том, что если человек ищет что либо в yandex.ru находит нужную информацию, проходит по ссылке предложенной яндексом и сайт поподает под запрет керио, хотя он не запрещен. Но если этот сайт открыть не по ссылке яндекса , а набрать ручками то он открывается). В чем может быть проблема, или куда хоть копать?
Заранее спасибо!

Автор:  Raven [ 01 авг 2013, 08:58 ]
Заголовок сообщения:  Re: блокирует не запрещенные сайты

Примеры ссылок пожалуйста и правил URL приведите. Все телепаты сейчас в отпуске, а мы люди недалекие - уравнение с 10 неизвестными решать не умеем.

Ну и вообще, писать правила URL таким вот варварским способом грешно - *что-то* вырежет любое совпадение с *что-то*, будь то http://что-то.ru или http://другое.ru/какая-то_ссылка/на/что-то/. Ну и если все настроено так, как у вас, то фильтры URL не работают для https (а вы не знали?!), поскольку https прозрачно не проксируется (в керио сегда включен прозрачный прокси-сервер), а правила URL работают только на прокси сервере, ибо NAT'у по сути глубоко пос$ать на ваши URL - он их не разбирает, он о них ничего не знает.
В керио ваш http запрос пришедший из локалки сначала редиректится на порт прозрачного прокси, там к нему применяются правила фильтрации и только потом его выпускают в мир. С (ftp|http)s все несколько сложнее - если у http сразу посылается GET/HEAD и пр. запрос, то у ssl-соединений сначала должен идти запрос типа CONNECT, и только потом, после установки шифрованого соединения начинают бегать GET/HEAD/POST и т.д. А прокси этого прозрачно обеспечивать не умеет. Поэтому для правильной работы правил нужно настраивать прокси-серверы в браузере у каждого клиента (весело, не правда-ли, особенно если машин больше сотни и на каждой по стопеццот браузеров).
Поэтому вот вам 2варианта развития событий:

1. если машин мало и хочется все-таки фильтровать по URL, то рисуйте правила типа:

*vk.com/*
*mail.ru/*
(обратите внимание на разницу написания мной и вами)

и настраиваете жесткое проксирование в каждом клиентском браузере.
2. Делаете как я:
Изображение

Создаете группу IP, куда вносите IP-адреса всех враждебных ресурсов (можно найти в интернете) и в правилах траффика, чуть повыше первого правила, разрешающего выход в интернет, создаете правило где источником указываете юзеров (или IP юзеров) которым надо закрыть туда доступ, назначением берете группу ip запретных ресурсов (да, кстати, можете смело туда заносить также адреса проксей всяких - юзеры имеют свойство их быстро разнюхивать) и действием ставите Удалить. Все, можете спокойно пить свое пиво.

Автор:  Infernal Flame [ 01 авг 2013, 09:12 ]
Заголовок сообщения:  Re: блокирует не запрещенные сайты

50baksov
скорее всего где-то закралось "регулярное выражение", которое вставляет тот же яндекс при переходе на найденный сайт. Т.е. элементарно если у вас "режется" все со словом *mail*, а в линке от яндекса по странному стечению обстоятельств присутствует это самое слово, то линк вырежется. Даже если у конечного сайта нет и никакого намека на этот самый *mail*. Внимательно просмотрите линк, который дает яндекс и свой список запрещенных слов - возможно найдутся соответствия.

Автор:  50baksov [ 01 авг 2013, 18:01 ]
Заголовок сообщения:  Re: блокирует не запрещенные сайты

1) не знал что в керио всегда включен прозрачный прокси-сервер
2) с правилами URl вчера разобрался нарисовал так vk.com, лишнего вроде не режет, тогда в чем разница между вашим *vk.com/*
все равно сайт должен блокироваться и не важно что в строке поиска будет после /
3) Facebook.com не сработал. Я так понял это либо его по IP резать, или поднимать прокси-сервер не прозрачный?

Автор:  Raven [ 02 авг 2013, 09:12 ]
Заголовок сообщения:  Re: блокирует не запрещенные сайты

По IP надежнее всего. Но нужно будет периодически проверять актуальность блокируемых адресов.

Автор:  Phantom [ 13 авг 2013, 16:40 ]
Заголовок сообщения:  Re: блокирует не запрещенные сайты

По IP надежно, но деревянно(ipv4). За заблоченным адресом могут быть и полезные ресурсы. Блочить правиьнее и гибчее регулярными выражениями, только делать это размахивая шашкой не надо. Прикинте какая вероятность, что в запросе встретится сочетание vk. Да полным полно. Поэтому пишите более конкретно, как и было подсказано ниже, но это капля в море....вы ещё с анонимайзерами не боролись, во там веселуха)))
З.Ы Facebook.com != facebook.com для регулярных выражений.

Автор:  Raven [ 13 авг 2013, 16:47 ]
Заголовок сообщения:  Re: блокирует не запрещенные сайты

Phantom писал(а):
За заблоченным адресом могут быть и полезные ресурсы.

Холивар, батенька! Смотря чьи это адреса. Сомневаюсь что вконтакте пускает "пожить" на свои адреса какие-нить сторонние полезные сайты.

Автор:  Phantom [ 13 авг 2013, 16:59 ]
Заголовок сообщения:  Re: блокирует не запрещенные сайты

Хм. Да собственно никакого холивара. Наши правоохранители блочат неугодных по IP. И почти всегда страдают ни в чем неповинные ресурсы. С ipv4 адресами блочить хорошо только если они принадлежат конкретно одному ресурсу, но кто будет заниматься этим и проверять...не не не нафик. Дождитьесь ipv6 , сколько там...лет 5 осталось? Вот там можно будет соседу утюг заблочить по IP. :-D

Автор:  adnat [ 21 июн 2017, 19:23 ]
Заголовок сообщения:  Re: блокирует не запрещенные сайты

Знакомая проблемка
Спасибо комментаторам за помощь *YES*

Страница 1 из 1 Часовой пояс: UTC + 6 часов
Powered by phpBB® Forum Software © phpBB Group
https://www.phpbb.com/