блокирует не запрещенные сайты

Решаем вопросы клубного программного обеспечения
Ответить
50baksov
Юзер
Юзер
Сообщения: 2
Зарегистрирован: 31 июл 2013, 18:37
ОС: MSDOS

блокирует не запрещенные сайты

Сообщение 50baksov » 31 июл 2013, 18:45

Доброе время суток.
Имеется сервер windows 2008 на нем установлен kerio control 7.2.0 build 3028
Пользователи авторизуются по IP адресу.
Все ходят в интернет через NAT. В Группы URL создал групу запрещенных сайтов ( выглядит это так *vk* или *mail*)
В Политика HTTP есть правило которое запрещает всем пользователям сайты находящиеся в этой группе. Проблема в том, что если человек ищет что либо в yandex.ru находит нужную информацию, проходит по ссылке предложенной яндексом и сайт поподает под запрет керио, хотя он не запрещен. Но если этот сайт открыть не по ссылке яндекса , а набрать ручками то он открывается). В чем может быть проблема, или куда хоть копать?
Заранее спасибо!
Аватара пользователя
Raven
Бородатый сис
Бородатый сис
Сообщения: 2787
Зарегистрирован: 03 мар 2010, 15:12
ОС: RHEL 7
Откуда: Из серверной

Re: блокирует не запрещенные сайты

Сообщение Raven » 01 авг 2013, 08:58

Примеры ссылок пожалуйста и правил URL приведите. Все телепаты сейчас в отпуске, а мы люди недалекие - уравнение с 10 неизвестными решать не умеем.

Ну и вообще, писать правила URL таким вот варварским способом грешно - *что-то* вырежет любое совпадение с *что-то*, будь то http://что-то.ru или http://другое.ru/какая-то_ссылка/на/что-то/. Ну и если все настроено так, как у вас, то фильтры URL не работают для https (а вы не знали?!), поскольку https прозрачно не проксируется (в керио сегда включен прозрачный прокси-сервер), а правила URL работают только на прокси сервере, ибо NAT'у по сути глубоко пос$ать на ваши URL - он их не разбирает, он о них ничего не знает.
В керио ваш http запрос пришедший из локалки сначала редиректится на порт прозрачного прокси, там к нему применяются правила фильтрации и только потом его выпускают в мир. С (ftp|http)s все несколько сложнее - если у http сразу посылается GET/HEAD и пр. запрос, то у ssl-соединений сначала должен идти запрос типа CONNECT, и только потом, после установки шифрованого соединения начинают бегать GET/HEAD/POST и т.д. А прокси этого прозрачно обеспечивать не умеет. Поэтому для правильной работы правил нужно настраивать прокси-серверы в браузере у каждого клиента (весело, не правда-ли, особенно если машин больше сотни и на каждой по стопеццот браузеров).
Поэтому вот вам 2варианта развития событий:

1. если машин мало и хочется все-таки фильтровать по URL, то рисуйте правила типа:

*vk.com/*
*mail.ru/*
(обратите внимание на разницу написания мной и вами)

и настраиваете жесткое проксирование в каждом клиентском браузере.
2. Делаете как я:
Изображение
Создаете группу IP, куда вносите IP-адреса всех враждебных ресурсов (можно найти в интернете) и в правилах траффика, чуть повыше первого правила, разрешающего выход в интернет, создаете правило где источником указываете юзеров (или IP юзеров) которым надо закрыть туда доступ, назначением берете группу ip запретных ресурсов (да, кстати, можете смело туда заносить также адреса проксей всяких - юзеры имеют свойство их быстро разнюхивать) и действием ставите Удалить. Все, можете спокойно пить свое пиво.
Я не злопамятный, я просто часто ковыряю логи
Изображение
Аватара пользователя
Infernal Flame
Злой Модер
Сообщения: 1795
Зарегистрирован: 03 мар 2010, 11:25
ОС: Centos 7
Контактная информация:

Re: блокирует не запрещенные сайты

Сообщение Infernal Flame » 01 авг 2013, 09:12

50baksov
скорее всего где-то закралось "регулярное выражение", которое вставляет тот же яндекс при переходе на найденный сайт. Т.е. элементарно если у вас "режется" все со словом *mail*, а в линке от яндекса по странному стечению обстоятельств присутствует это самое слово, то линк вырежется. Даже если у конечного сайта нет и никакого намека на этот самый *mail*. Внимательно просмотрите линк, который дает яндекс и свой список запрещенных слов - возможно найдутся соответствия.
Изображение
Изображение
Work: Centos 7 х 'all Servers'
50baksov
Юзер
Юзер
Сообщения: 2
Зарегистрирован: 31 июл 2013, 18:37
ОС: MSDOS

Re: блокирует не запрещенные сайты

Сообщение 50baksov » 01 авг 2013, 18:01

1) не знал что в керио всегда включен прозрачный прокси-сервер
2) с правилами URl вчера разобрался нарисовал так vk.com, лишнего вроде не режет, тогда в чем разница между вашим *vk.com/*
все равно сайт должен блокироваться и не важно что в строке поиска будет после /
3) Facebook.com не сработал. Я так понял это либо его по IP резать, или поднимать прокси-сервер не прозрачный?
Аватара пользователя
Raven
Бородатый сис
Бородатый сис
Сообщения: 2787
Зарегистрирован: 03 мар 2010, 15:12
ОС: RHEL 7
Откуда: Из серверной

Re: блокирует не запрещенные сайты

Сообщение Raven » 02 авг 2013, 09:12

По IP надежнее всего. Но нужно будет периодически проверять актуальность блокируемых адресов.
Я не злопамятный, я просто часто ковыряю логи
Изображение
Аватара пользователя
Phantom
Эникейщик
Эникейщик
Сообщения: 266
Зарегистрирован: 18 май 2012, 16:34
ОС: ARCH Linux
Откуда: Брянск
Контактная информация:

Re: блокирует не запрещенные сайты

Сообщение Phantom » 13 авг 2013, 16:40

По IP надежно, но деревянно(ipv4). За заблоченным адресом могут быть и полезные ресурсы. Блочить правиьнее и гибчее регулярными выражениями, только делать это размахивая шашкой не надо. Прикинте какая вероятность, что в запросе встретится сочетание vk. Да полным полно. Поэтому пишите более конкретно, как и было подсказано ниже, но это капля в море....вы ещё с анонимайзерами не боролись, во там веселуха)))
З.Ы Facebook.com != facebook.com для регулярных выражений.
01010000011010000110000101101110011101000110111101101101
Аватара пользователя
Raven
Бородатый сис
Бородатый сис
Сообщения: 2787
Зарегистрирован: 03 мар 2010, 15:12
ОС: RHEL 7
Откуда: Из серверной

Re: блокирует не запрещенные сайты

Сообщение Raven » 13 авг 2013, 16:47

Phantom писал(а):За заблоченным адресом могут быть и полезные ресурсы.
Холивар, батенька! Смотря чьи это адреса. Сомневаюсь что вконтакте пускает "пожить" на свои адреса какие-нить сторонние полезные сайты.
Я не злопамятный, я просто часто ковыряю логи
Изображение
Аватара пользователя
Phantom
Эникейщик
Эникейщик
Сообщения: 266
Зарегистрирован: 18 май 2012, 16:34
ОС: ARCH Linux
Откуда: Брянск
Контактная информация:

Re: блокирует не запрещенные сайты

Сообщение Phantom » 13 авг 2013, 16:59

Хм. Да собственно никакого холивара. Наши правоохранители блочат неугодных по IP. И почти всегда страдают ни в чем неповинные ресурсы. С ipv4 адресами блочить хорошо только если они принадлежат конкретно одному ресурсу, но кто будет заниматься этим и проверять...не не не нафик. Дождитьесь ipv6 , сколько там...лет 5 осталось? Вот там можно будет соседу утюг заблочить по IP. :-D
01010000011010000110000101101110011101000110111101101101
adnat
Юзер
Юзер
Сообщения: 1
Зарегистрирован: 21 июн 2017, 19:19
ОС: MSDOS

Re: блокирует не запрещенные сайты

Сообщение adnat » 21 июн 2017, 19:23

Знакомая проблемка
Спасибо комментаторам за помощь *YES*
Ответить

Вернуться в «Клубный софт && Игры»