Лінукс форум

Вхід не виконано. Ласкаво просимо зареєструватися!

Логін: Пароль: [ Реєстрація ]
Навігація: Форум

Опис та призначення цього розділу форума:
Це форум для користувачів операційної системи Linux, або тих хто хоче стати таким користувачем чи адміністратором Лінукс. Форум ні в якому разі не ставить на меті осягнути всі можливості використання цієї перспективної операційної системи, але принаймні одну відповідь на своє питання ви отримаєте завжди. Всі питання форуму проходять через руки модератора (адміністратора), а тому ймовірність отримання правильної відповіді значно збільшується.

Тема обговорення:

Треба заборонити доступ до порносайтів, як це зробити в Linux?

Автор та дата повідомлення Текст повідомлення
vip_user
15:46:57 21.09.2005
В локальній мережі всі користувачі користуються єдиним доступом в Інтернет через Linux сервер. Сервер включений постійно, і деякі люди залишаються після роботи, щоб "попрацювати" в Інтернеті. Все це виливається потім в величезні рахунки від провайдера та регулярні випадки зараження користувацьких ПК вірусами.

Чи можна якось обмежити доступ користувачів до небажаних сайтів (наприклад, порно чи mp3-сайтів), або принаймні дозволити роботу інтернет серверу тільки у робочий час?
senyk
09:59:17 22.09.2005
Можливим варіантом рішення є примусове завернення всього http трафіку на проксі сервер Squid (реалізувати можна у iptables, ipchains або іншим фільтром пакетів). Тим самим стає можливим його контроль, тобто ми можемо вказувати кого, куди і коли пускати, а кого ні.

В принципі зі Squid-ом іде прекрасна документація, тому у системі ACL (access control list) не важко буде розібратися. Наприклад, щоб дозволити всім користувачам працювати лише в робочий час з 8:00 до 17:00, слід встановити у файлі /etc/squid/squid.conf (у вашій Linux системі шлях може бути іншим) такі параметри ACL:

acl work_time time MTWHF 08:00-17:00
http_access allow work_time
http_access deny all

Заборонити закачку mp3-файлів та avi можна таким чином:

acl bad_files urlpath_regex -i \.avi \.mp3
http_access deny bad_files

Стосовно вашого головного запитання: обмежити доступ до порносайтів досить важко, тому що навіть при використанні "чорного" переліку таких сайтів, постійно в мережі створюються нові, можливостей squid для цього не вистачить, але великий відсоток небажаних URL відсіяти можна. Дивіться у бік використання вже готовий "чорних" переліків у каталозі /etc/squid/squidblock/ та ACL директиви url_regex.

До того ж не слід забувати, що Squid підтримує досить багато схем авторизації, за якими можна точно визначити, який з користувачів користувався забороненими ресурсами. І у відповідь вживати суто адміністративні методи :)
Moriarty
15:23:43 22.09.2005
Коммерческие фирмы поступают следующим образом: в конце месяца анализируют кто куда ходил и что качал (находят для этого время). Если скачивали файлы, посещали сайты по работе - без вопросов, если по личным делам - оплатите по тарифам провайдера плюс ко всему для пользователей ограничивают трафик (кому сколько положено). А средств тута много - начиная от squid'a и заканчивая подробным логированием tcpdump'a, есть уже готовые биллинг-ситемы по учёту трафика.
www.netams.com/
netacct-mysql.gabrovo.com/
www.opennet.ru/opennews/art.shtml?num=2526
stargazer.dp.ua/
vip_user
08:48:30 23.09.2005
Велике спасибі всім за відповіді, буду розбиратися.
Особливо мені сподобалась програма по обліку трафіку Stargazer. Сподіваюсь, що й працюватиме вона добре.
Moriarty
13:06:26 04.10.2005
Забыл сказать вот о чём - трафик может нагоняться ещё:
1. когда юзеры пользуются клиентами P2P сетей (eDonkey и т.п.)
2. если с внешнего мира флудонули сервак (другими словами провели атаку на отказ в обслуживании). Был в моей практике такой случай когда у провайдера флудонули одного клиента (по протоколу UPD на 53 порт пошёл сплошной поток), поскольку было это в рабочее время - то мы сразу заметили. А вот представим что это дело было сделано в нерабочее время. Протокол UDP учитывается всякими считалками, так что трафик набежит и у провайдера и у Вас, только у вас получится разница по входящему трафику на сервак и с сервака на юзеров (на юзеров его естественно не будет) и это может быть труднодоказуемо. Как вариант - полное логирование tcpdump'ом, скажем за определенный промежуток времени и архивирование логов. Только при атаке может быть очень быстро забито логами место если винт маленький, так что дело усложняется. Вывод - лучше всё-таки сидеть на лимите по скорости и безлимитке по трафику.

Ви не є користовачем цього форуму, а тому не можете створювати нові повідомлення

Реклама

Ліцензійна угода

Авторське право на серверний механізм форуму © Сеник Микола, 2005