Блокировка https

@AlexMauster · Регистрация: 22.10.2014

Author24 — интернет-сервис помощи студентам

Доброго времени суток!
Ситуация следующая:
Имеется роутер (он же модем) SAGEMCOM FAST 2804, v7, локальная сеть на 30 пк.
Роутер подключен к свичу, к которому подключены ПК (через другие свичи).
Пользователи любят частенько посидеть в vk и одноклассниках.
Задача: лишить пользователей этой привилегии.

Для добавления в список запрещенных сайтов в роутере используется доменное имя и порт.
Таким образом удалось заблокировать только сайты по протоколу http. На https://vk.com заходит без проблем.
Блокировка по порту 443 тоже не помогает.
Подскажите, пожалуйста, как можно решить данную задачу?

Находил похожую тему, где советовали перенаправить маршруты, однако, vk хитёр, и довольно часто меняет ip.

Так же читал, что данную проблему может решить установка шлюза на пути от свича к модему. Отсюда вытекает несколько вопросов:
Подойдет ли для этой цели такой конфиг: Intel Celeron (2.66 GHz), 768 GB RAM, hard disk:80GB, Ubuntu Server 14.04, если помимо шлюза и фильтра он будет ещё играть роль файлового сервера (сетевой диск для оборота документов)?
Какой софт лучше всего использовать для фильтрации?

Не по теме:

Улучшится ли качество работы интернета при постановке шлюза? Получается, что в данный момент вся сеть держится на роутере (он раздает всем ПК ip адреса и интернет), и если более двух человек пользуются интернетом - пинг растет от 500 и более. Вообщем, интернет становится неюзабельным. Где-то, как-то, слышал что благодаря тому, что нагрузка уходит на шлюз - интернет начинает работать стабильнее. Так ли это?

@insect_87 · 23.03.2015, 08:42

Сообщение от AlexMauster

Какой софт лучше всего использовать для фильтрации?

прокси
схема: роутер - прокси - свитчи

@xoraxax · 23.03.2015, 08:43

squid поставь

@WhoBadWolf · 23.03.2015, 09:47

микротик фильтр L7

Добавлено через 8 минут
пример:
/ip/firewall/layer7-protocol add name=vk_com regexp="^.*(\\x76\\x6b\\.\\x63\\x6f\\x6d).*\$"
/ip/firewall/filter add action=drop chain=forward layer7-protocol=vk_com out-interface=internet src-address-list=vk.com_block

@corlovito · 23.03.2015, 10:53

Сообщение от WhoBadWolf

микротик фильтр L7

https ?

@WhoBadWolf · 23.03.2015, 11:50

corlovito, ну меня злодеем назвали, что в контакте теперь не работает, а через http или https заходит - х.з. Он фильтрует начальный запрос и зарезает.

Добавлено через 5 минут
обход конечно возможен через внешний прокси или vpn, но это другая история.

@corlovito · 23.03.2015, 11:52

Сообщение от WhoBadWolf

а через http или https заходит - х.з

через http конечно, https таким образом не обрежешь

@WhoBadWolf · 23.03.2015, 12:03

только что проверял именно https://vk.com
залей на виртуальную машину микротик х86, правила также работать будут, если понравиться, то или отдельный ящик х86 поставишь, или как у меня железку RB

@corlovito · 23.03.2015, 12:28

mikrotik wiki пишет вот что Note: When user is logged in youtube will use HTTPS, meaning that L7 will not be able to much this traffic. Only unencrypted HTTP can be matched.

@WhoBadWolf · 23.03.2015, 13:21

corlovito, могу скриншот прислать, что не работает

@corlovito · 23.03.2015, 13:26

не скриншот не интересно, конфиг микротика бы, а вообще вы уверены что дополнительно ничего в сети не используется для блокировки https и что точно на 443 порт обращение идет ? если действительно микротиком можно https рубить этож круто, но что-то не верится

@WhoBadWolf · 23.03.2015, 13:36

про wiki вы не тот пример посмотрели, там фильтрация по ответу сервера идет, с https она шифрованная - следовательно фильтр не сработает. а если фильтр на имя сайта ставить, он по запросный и не шифрованный идет - фильтр его видит и режет.
кусок для фильтрации от в контакте дал в 4 посту как пример. там не сложно.
весь конфиг скидывать не хочу, если только почистить от личных настроек, в том числе от желающих из внутренней сети попытаться поковыряться.

@corlovito · 23.03.2015, 13:37

ок попробую сейчас

@WhoBadWolf · 23.03.2015, 13:38

на счет уверен: да - на том же микротике могу включить логирование по определенным правилам, что дает уверенность, что правило работает.

@corlovito · 23.03.2015, 14:04

хм... подтверждаю работает спасибо

Добавлено через 2 минуты
осталось в регулярном выражении разобраться, чтобы другие сайты тоже блокировать можно было, может на источник натолкнете

Добавлено через 11 минут
хотя о чем это я все ж элементарно ватсон

@WhoBadWolf · 23.03.2015, 14:05

(\\x76\\x6b\\.\\x63\\x6f\\x6d)
это: vk.com в hex коде, подробнее надо доку листать. обычно этот шаблон работает.

@corlovito · 23.03.2015, 14:08

да я уж понял, что то не вник вначале

@AlexMauster · 24.03.2015, 06:16 **[ТС]**

Спасибо за ответы! Попробую.

@Elevyr · 13.07.2016, 06:27

WhoBadWolf, Добрый день! Такая же проблема с сайтами https://www.youtube.com и https://my.mail.ru Можете дать hex-коды этих сайтов? В интернете этих кодов не нашёл. Спасибо!

@.None · 13.07.2016, 08:28

Код

youtube.com
\x79\x6F\x75\x74\x75\x62\x65\.\x63\x6F\x6D

my.mail.ru
\x6D\x79\.\x6D\x61\x69\x6C\.\x72\x75

@corlovito 461 / 442 / 75 Регистрация: 26.12.2012 Сообщений: 2,888
	23.03.2015, 14:08	17
	да я уж понял, что то не вник вначале 0

@AlexMauster 1 / 1 / 0 Регистрация: 22.10.2014 Сообщений: 24
	24.03.2015, 06:16 [ТС]	18
	Спасибо за ответы! Попробую. 0

@Elevyr 0 / 0 / 0 Регистрация: 13.07.2016 Сообщений: 16
	13.07.2016, 06:27	19
	WhoBadWolf, Добрый день! Такая же проблема с сайтами https://www.youtube.com и https://my.mail.ru Можете дать hex-коды этих сайтов? В интернете этих кодов не нашёл. Спасибо! 0

@AlexMauster 1 / 1 / 0 Регистрация: 22.10.2014 Сообщений: 24
		1
	Блокировка https 23.03.2015, 08:17. Показов 16504. Ответов 61 Метки нет (Все метки) Доброго времени суток! Ситуация следующая: Имеется роутер (он же модем) SAGEMCOM FAST 2804, v7, локальная сеть на 30 пк. Роутер подключен к свичу, к которому подключены ПК (через другие свичи). Пользователи любят частенько посидеть в vk и одноклассниках. Задача: лишить пользователей этой привилегии. Для добавления в список запрещенных сайтов в роутере используется доменное имя и порт. Таким образом удалось заблокировать только сайты по протоколу http. На https://vk.com заходит без проблем. Блокировка по порту 443 тоже не помогает. Подскажите, пожалуйста, как можно решить данную задачу? Находил похожую тему, где советовали перенаправить маршруты, однако, vk хитёр, и довольно часто меняет ip. Так же читал, что данную проблему может решить установка шлюза на пути от свича к модему. Отсюда вытекает несколько вопросов: Подойдет ли для этой цели такой конфиг: Intel Celeron (2.66 GHz), 768 GB RAM, hard disk:80GB, Ubuntu Server 14.04, если помимо шлюза и фильтра он будет ещё играть роль файлового сервера (сетевой диск для оборота документов)? Какой софт лучше всего использовать для фильтрации? Не по теме: Улучшится ли качество работы интернета при постановке шлюза? Получается, что в данный момент вся сеть держится на роутере (он раздает всем ПК ip адреса и интернет), и если более двух человек пользуются интернетом - пинг растет от 500 и более. Вообщем, интернет становится неюзабельным. Где-то, как-то, слышал что благодаря тому, что нагрузка уходит на шлюз - интернет начинает работать стабильнее. Так ли это? 0

@insect_87 Модератор 11429 / 6998 / 1903 Регистрация: 25.12.2012 Сообщений: 29,398
	23.03.2015, 08:42	2
	Сообщение от AlexMauster Какой софт лучше всего использовать для фильтрации? прокси схема: роутер - прокси - свитчи 1

@xoraxax 3639 / 2971 / 918 Регистрация: 05.07.2013 Сообщений: 14,220
	23.03.2015, 08:43	3
	squid поставь 1

@WhoBadWolf 20 / 20 / 1 Регистрация: 24.12.2014 Сообщений: 65
	23.03.2015, 09:47	4
	микротик фильтр L7 Добавлено через 8 минут пример: /ip/firewall/layer7-protocol add name=vk_com regexp="^.(\\x76\\x6b\\.\\x63\\x6f\\x6d).\$" /ip/firewall/filter add action=drop chain=forward layer7-protocol=vk_com out-interface=internet src-address-list=vk.com_block 1

@corlovito 461 / 442 / 75 Регистрация: 26.12.2012 Сообщений: 2,888
	23.03.2015, 10:53	5
	Сообщение от WhoBadWolf микротик фильтр L7 https ? 0

@WhoBadWolf 20 / 20 / 1 Регистрация: 24.12.2014 Сообщений: 65
	23.03.2015, 11:50	6
	corlovito, ну меня злодеем назвали, что в контакте теперь не работает, а через http или https заходит - х.з. Он фильтрует начальный запрос и зарезает. Добавлено через 5 минут обход конечно возможен через внешний прокси или vpn, но это другая история. 0

@corlovito 461 / 442 / 75 Регистрация: 26.12.2012 Сообщений: 2,888
	23.03.2015, 11:52	7
	Сообщение от WhoBadWolf а через http или https заходит - х.з через http конечно, https таким образом не обрежешь 0

@WhoBadWolf 20 / 20 / 1 Регистрация: 24.12.2014 Сообщений: 65
	23.03.2015, 12:03	8
	только что проверял именно https://vk.com залей на виртуальную машину микротик х86, правила также работать будут, если понравиться, то или отдельный ящик х86 поставишь, или как у меня железку RB 0

@corlovito 461 / 442 / 75 Регистрация: 26.12.2012 Сообщений: 2,888
	23.03.2015, 12:28	9
	mikrotik wiki пишет вот что Note: When user is logged in youtube will use HTTPS, meaning that L7 will not be able to much this traffic. Only unencrypted HTTP can be matched. 0

@WhoBadWolf 20 / 20 / 1 Регистрация: 24.12.2014 Сообщений: 65
	23.03.2015, 13:21	10
	corlovito, могу скриншот прислать, что не работает 0

	13.07.2016, 08:28

@corlovito 461 / 442 / 75 Регистрация: 26.12.2012 Сообщений: 2,888
	23.03.2015, 13:26	11
	не скриншот не интересно, конфиг микротика бы, а вообще вы уверены что дополнительно ничего в сети не используется для блокировки https и что точно на 443 порт обращение идет ? если действительно микротиком можно https рубить этож круто, но что-то не верится 0

@WhoBadWolf 20 / 20 / 1 Регистрация: 24.12.2014 Сообщений: 65
	23.03.2015, 13:36	12
	про wiki вы не тот пример посмотрели, там фильтрация по ответу сервера идет, с https она шифрованная - следовательно фильтр не сработает. а если фильтр на имя сайта ставить, он по запросный и не шифрованный идет - фильтр его видит и режет. кусок для фильтрации от в контакте дал в 4 посту как пример. там не сложно. весь конфиг скидывать не хочу, если только почистить от личных настроек, в том числе от желающих из внутренней сети попытаться поковыряться. 0

@corlovito 461 / 442 / 75 Регистрация: 26.12.2012 Сообщений: 2,888
	23.03.2015, 13:37	13
	ок попробую сейчас 0

@WhoBadWolf 20 / 20 / 1 Регистрация: 24.12.2014 Сообщений: 65
	23.03.2015, 13:38	14
	на счет уверен: да - на том же микротике могу включить логирование по определенным правилам, что дает уверенность, что правило работает. 1

@corlovito 461 / 442 / 75 Регистрация: 26.12.2012 Сообщений: 2,888
	23.03.2015, 14:04	15
	хм... подтверждаю работает спасибо Добавлено через 2 минуты осталось в регулярном выражении разобраться, чтобы другие сайты тоже блокировать можно было, может на источник натолкнете Добавлено через 11 минут хотя о чем это я все ж элементарно ватсон 0

@WhoBadWolf 20 / 20 / 1 Регистрация: 24.12.2014 Сообщений: 65
	23.03.2015, 14:05	16
	(\\x76\\x6b\\.\\x63\\x6f\\x6d) это: vk.com в hex коде, подробнее надо доку листать. обычно этот шаблон работает. 0

@.None 4296 / 1633 / 325 Регистрация: 23.06.2009 Сообщений: 5,815
	13.07.2016, 08:28	20
	Код youtube.com \x79\x6F\x75\x74\x75\x62\x65\.\x63\x6F\x6D my.mail.ru \x6D\x79\.\x6D\x61\x69\x6C\.\x72\x75 0