iptables facebook tiltása routeren

Hálózatok általános

Az alábbi módon kívántam kitiltani a routeren a facebook.com-ot az internet használatból: 


iptables -A INPUT -s facebook.com -j DROP
iptables -A OUTPUT -d facebook.com -j DROP

Ha a fenti parancsok a klienseken futnak le, akkor működik a facebook.com tiltása, ha a routeren, akkor pedig simán megy a facebook.com a klienseken, de a router nem éri el a facebook.com-ot.

Így osztom meg a netet: 


iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -P OUTPUT ACCEPT
echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A INPUT -i eth2 -j ACCEPT
iptables -A INPUT -i eth3 -j ACCEPT
iptables -A INPUT -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
iptables -A INPUT -p icmp -j DROP
iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT

Mit rontok el?

---------

MEGOLDÁS: 


# FACEBOOK.COM
# http://wiki.developers.facebook.com/index.php/Facebook_IP_Addresses
#66.220.144.0/20
#69.63.176.0/20
#74.119.76.0/22
#204.15.20.0/22
iptables -A FORWARD -s 66.220.144.0/20 -j DROP
iptables -A FORWARD -d 66.220.144.0/20 -j DROP
iptables -A FORWARD -s 69.63.176.0/20 -j DROP
iptables -A FORWARD -d 69.63.176.0/20 -j DROP
iptables -A FORWARD -s 74.119.76.0/22 -j DROP
iptables -A FORWARD -d 74.119.76.0/22 -j DROP
iptables -A FORWARD -s 204.15.20.0/22 -j DROP
iptables -A FORWARD -d 204.15.20.0/22 -j DROP
  • 8878 megtekintés

( cannibal | 2010. 05. 11., k – 10:06 )

Azt, hogy nem olvastad el a Netfilter for Dummies c. könyvet... ;)

FORWARD

Mondjuk ettől aligha lesz letiltva :)

[ Like ]

( _Petya_ v | 2010. 05. 11., k – 10:09 )

Nem az INPUT és az OUTPUT, hanem a FORWARD láncon kell szűrni, ha routerről van szó.

Petya

Router: 


Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED 
ACCEPT     all  --  anywhere             anywhere            
REJECT     all  --  anywhere             www-11-01-snc2.facebook.com reject-with icmp-port-unreachable 
REJECT     all  --  anywhere             www-10-01-ash2.facebook.com reject-with icmp-port-unreachable 
REJECT     all  --  anywhere             www-11-01-ash2.facebook.com reject-with icmp-port-unreachable 
REJECT     all  --  anywhere             www-10-01-snc2.facebook.com reject-with icmp-port-unreachable 
DROP       all  --  www-10-01-ash2.facebook.com  anywhere            
DROP       all  --  www-11-01-ash2.facebook.com  anywhere            
DROP       all  --  www-10-01-snc2.facebook.com  anywhere            
DROP       all  --  www-11-01-snc2.facebook.com  anywhere

A sorrend a gáz?

Kliens: 


ping facebook.com
PING facebook.com (69.63.189.11) 56(84) bytes of data.
64 bytes from www-10-01-ash2.facebook.com (69.63.189.11): icmp_seq=1 ttl=239 time=118 ms
64 bytes from www-10-01-ash2.facebook.com (69.63.189.11): icmp_seq=2 ttl=239 time=118 ms
64 bytes from www-10-01-ash2.facebook.com (69.63.189.11): icmp_seq=3 ttl=239 time=120 ms
64 bytes from www-10-01-ash2.facebook.com (69.63.189.11): icmp_seq=4 ttl=239 time=118 ms

( dash | 2010. 05. 11., k – 10:18 )

subscribe

---
Ami a windowsban szarrágás, az linuxban hegesztés.
Ha megszeretted a windowst, tanuld meg használni!
A linux igenis felhasználó-, és NEM idiótabarát.
A linuxot mi irányítjuk, a windows minket irányít.

( Foltos | 2010. 05. 11., k – 10:31 )

Azert azt ajanlom figyelmedbe, hogy egy kulso proxy hasznalataval siman kikerulheto a tiltas. Google tobb mint 16 millio talalatot ad az "open proxy list" keresoszavakra...

léccike akkor egy rtfm jellegü példát amiből elindulhatok :)
nálunk a kedves kollégák délután 3 tól tolják a ziwiwet mega fészbúkot.
legalább legyen lassú, hamár van.

--------------------------------------------------------
„Az Univerzum már elég nagy és öreg ahhoz, hogy egy fél óráig vigyázzon magára.”

A windows az bármire képes, akár még mûködni is....
--------------------------------------------------------

Belső házirend?....

Néha nem kell védekezni szoftveresen, azt mondod ha látom hogy Facebookozol akkor bérlevonás, felrax egy ingyenes VNC-t és megmutatod nekik, hogy bármit csinál látod... de tovább megyek.

A RescueTime egy olyan progi ami logolja, és serverre küldi hogy melyik ablakkal mit csinált és meddig.
http://www.rescuetime.com/

A kliens szoftverét nem tudja buherálni... és hó végén fizetéskor szépen ki lehet elemezni hol melyik ablakon mennyi időt töltött...

Sajna az emberek nem így működnek. Ha valamit lehet picit, akkor azt lehet nagyon is.
Napközben jön egy rossz hír msn-en, majd 2 órát lelkizik a kolléganőjével. Pusztul a farmja az FB-n, gyorsan neki lát a paraszt vetni.
Ha a munkavállaló moráljára bíznám magam, akkor az a vége, hogy amit lehet automatizálok (mondjuk így is) illetve outsourcingolok aztán meg kirúgok mindenkit.

Igazi magyar mentalitás... A minap beszélgettünk erről, hogy Németországban (régebben így volt most nem tudom hogy megy) ihattál nyugodtan egy sört, és vezethettél.. A "jó" magyar nem bírja megállni a 2 üveget...
Ugyanígy a Facebook + MSN is... Nem bírja ki, hogy mértékkel csinálja. Én "rossz" munkaadó lennék, alap de határozott elvárásokkal. Ne hagyd már, hogy a kisujjad helyett az egész karodat akarja, az első 2 elbocsátás után nyugodj meg nem lenne gondod...

Csinalni kell 2 proxy -t.
1. Transzparens, csak limitalt oldalakat engedelyez.
2. nem transzparens, autentikaciot ker. Nap vegen szkript logokbol kigyujti ki milyen oldalon jart, error level alkalmazottnak es fonoknek is.

Sajat gepekrol minden forgalmat a tuzfalon blokkolni.

Mindezek melett legyen egy dedikalt gep ami nincs blokkolva. Ezt csak engedellyel lehet hasznalni ele ulve, vagy remote desktopon keresztul. Letoltott anyagot pendrive -on vagy halozaton viheti sajat gepere.

Ez kevesbe gatolja a munkat, viszont az alkalmazott elgondolkodik arrol, mit es mikor nez meg.

Mindezek melett legyen egy dedikalt gep ami nincs blokkolva. Ezt csak engedellyel lehet hasznalni ele ulve, vagy remote desktopon keresztul. Letoltott anyagot pendrive -on vagy halozaton viheti sajat gepere.

az ötlet jó, de ennél a résznél elbukott, mert van kivétel, innentől a szabályok kijátszhatóak. És ebben az esetben ki is fogják használni a kiskaput.

asszem, ez most is így van. viszont balesetbe kerüléskor nem számít, te okoztad-e vagy csak szenvedő fél vagy, ha ittál (akár csak a megengedett mennyiséget is), mindenképp büntetnek, mert alkoholos befolyásoltság alatt vezettél, emiatt a ítélő- és cselekvőképességed mindenképp változik.

esetleg átállni teljesítménybérre?

( dragi v | 2010. 05. 11., k – 10:42 )

transparent proxy talán jobb lenne és abban korlátozni.

( Cseresznye | 2010. 05. 11., k – 11:27 )

+1 Squid + Dansguardian

SZERK: "transparent proxy talán jobb lenne és abban korlátozni."

Lépjen be a céges ellenőr a fészbúkra, és nézze, látja-e valamelyik kollégát online munkaidőben.
Vagy farmos üzeneteket a falán.
Vagymi

Egyébként szerintem ha valaki nem akar dolgozni, és fb nem megy, akkor majd indexet olvas, vagy kimegy kávézni, cigizni, esetleg csak bámul ki az ablakon.

Az én saját véleményem az, hogy teljesen mindegy, mit csinál, játszhat vagy chat, vagy tökmindeg, ha a kiadott munkát határidőre elvégzi megfelelő minőséggel.

G

( YanChi | 2010. 05. 11., k – 11:53 )

Ezt sosem értettem. Ha valaki elvégzi a munkáját, akkor miért kell korlátozni? Ha nem végzi el, akkor egyszer figyelmezteti a főnöke szóban, egyszer írásban. Harmadszorra a HR magyarázza el neki, miért kell új munkahelyet keresnie.
Mindez persze a közszférában nem igaz, ezt én is tudom.

http://haxel.hu/wodehouse-konyvek.html

Cserébe viszont azt is kaphatjátok, hogy a visszajára sül el a dolog és még kevesebbet fog teljesíteni, mintha facebookozott volna. Az ember találékony és ha valahol betömsz egy lyukat, akkor keres másikat. Ha meg akarja oldani, akkor meg is fogja oldani, hogy a termelékenysége még véletlenül se nőjön.

Azért arról majd esetleg beszámolhatnál, hogy a letiltások hatására kimutathatóan nőtt-e a kérdéses emberek termelékenysége/hatékonysága. Nem mintha messzemenő következtetést szeretnék levonni vagy ilyesmi, csak kíváncsi vagyok a tapasztalatokra.

Egy lehetséges "kerülőút": Aláíratni a munkavállalóval egy nyilatkozatot, miszerint a számítógépet és a hálózati elérést munkavégzés céljából kapta, így a munkáltatónak joga van megfigyelni és elemezni a hálózati tevékenységét. Később, amikor más nincs a közelben, megkérdezni tőle, hogy még mindig Gézával csalja a férjét, vagy már új pasija van? Esetleg érdeklődni, hogy bevált-e az új vibrátor? A lényeg az, hogy olyat kérdezzünk tőle, amit "elfecsegett" a hálózaton, de nem akarja, hogy a munkatársak tudjanak róla.

Tudom, hogy szemét vagyok. :-(

-----
Innen most töltsünk tiszta vizet a nyílt kártyákba: ...

Ha az aláírt nyilatkozatban szerepel, hogy tiltott a magáncélú használat, akkor nem sérted meg a magánszférát, mert élhetsz azzal a feltételezéssel, hogy betartja a szabályokat. A munkához kapcsolódó használatot viszont jogod van ellenőrizni.
Azt elismerem, hogy bíróságra cipelhet, ha mások tudomására hozom a magánszférába tartozó dolgait.

-----
Innen most töltsünk tiszta vizet a nyílt kártyákba: ...

+1

jahhh, de ezt le is kell tolni a torkán.
Van pl most egy hölgy aki 10 hónapja beteg. Facebook-on meg kint a friss síelős képek. Fasza nem?
Megoldás: elektronikus közjegyző előtt hitelesíteni az fb oldalát, majd a hölgyet behívni és biankó kitöltetni vele a papírokat, hogy aznap ki lehessen léptetni ahogy 12 hónap letelik.

Szerintem írj egy alapos levelet az illetékes Társadalombiztosítási Igazgatóságnak. Ők intézkedni fognak a táppénz megvonásáról, felülvizsgálatot fognak elrendelni. Ugyan nem ismerem a táppénzes ceremóniát, én jómagam soha nem voltam még betegszabin, de 10 hónapos időtartam alatt jónéhány felülvzsgálaton és orvosbizottságon kellene átcsúsznia.

Nem akarom feljelenteni csak simán megszabadulni tőle. Nem rosszat akarok neki, csak azt akarom, hogy ne rajtam élősködjön.
Ennek ellenére a mai beszélgetésünk után én lettem az első számú közellenség.
pedig arra a kérdésre, hogy: "Te eltartanál-e engem?" nem adott igenlő választ. Bízom benne, hogy ma elgondolkodik a beszélgetésen és rájön, hogy jobb a békés elválás.

Tied a cég?

Mer' jó kommenista beidegződés, hogy a maszek genya, televanlével stb.....
Az ilyen embereknek mondhatsz bármit, akkor is te vagy
a kizsákmányoló kapitalista.

Frissítsd a kollégáid OS-ét!
Végevanakommunizmuslógásranavelésének címmel. :)

/off
nem tudom ki járt már Almásfüzitőn az egykori timfoldgyár(?)
előtt, még ott virít:

"Nálunk a munka, becsület és dicsőség dolga"

Dolgozzon a becsület, meg a dicsőség!

Kis módosítással ki tehetnéd a bejárat fölé!

Nálunk a munka, NEM a becsület és dicsőség dolga!
off/

Sok a lökött még mindig azt hiszik,
hogy a Kádár-rendszerben jobban élnének!?
Golyót, kötelet, giotint az marháinak!

Azért képzeld el, hogy mondjuk ezt nem egy , és nem kettő ember csinálja hanem cca. ezer, és mondjuk forgalom után fizeted a netted.
Akkor kb. azt mondják, hogy farm-ozzál csak barátom, majd én fizetem, tudod mit duplán fizetem neked egyszer az órabéredben, egyszer meg az internet forgalomban.
Nyilván nem kell teljesen mindent le tiltani, mert egy munkáltatónak is megéri ha az alkalmazottja interneten intézi az utalásokat, és nem postán, vagy bank-ban.
Nehéz meghúzni azt a határt amit ilyenkor meg kell, de ez legyen olyan ember dolga akit azért fizetnek, hogy meghozza ezeket a döntéseket.
Egyébként vannak más megoldások. Nem feltétlenül mindig a tiltás a jó megoldás.
De ebbe most nem szeretnék bele menni, igen hosszadalmas lenne ezt kifejteni....

"Computer! Earl Grey 27 Celsius-ost !"
Blogom

( zwei | 2010. 05. 11., k – 13:43 )

Csináls scriptet, ami csak munkidő előtt és után engedélyezi a facebook-ok, mega többi vackot...
Így majd hamarabb beérnek, és tovább maradnak. :) :)

Nem értem, hogy ez mennyivel rosszabb mint a teljes tiltás.

Egyébként tőlünk nyugatabbra sok helyen van olyan gyakorlat, hogy aki munkaidőben chatel, az max kétszer figyelmeztetve, harmadjára repül.
Csak az elsőnél kell óvatosnak lenni, hogy lehetőleg könnyen pótolható ember menjen, de a többiek innentől kezdve kétszer is meggondolják. :)

Mindent nem lehet. Vagy dolgoznak neked vagy szeretnek. A kettő együtt nem fog menni. :D Vagy csak nagyon nehezen.

Nem informatikai oldalról közelítve. Mi van, ha azt mondod, hogy addig amíg a kiadott munka időre készen van, nem érdekel mit csinálnak a többi időben? Ha pedig a munka nincs kész, akkor szorulnak és elkezded megnyirbálni a szabadságukat. Mindezt pedig egyértelműen kell az emberek felé kommunikálni.

Lehet én gondolom rosszul, de ez a régi beidegződésből származón egyből tiltunk, büntetünk inkább ellenérzést szül. És a magyar ilyenkor még inkább csak azért is elkezdik azt keresni, hogy játssza ki a szabályokat bármi áron. Talán egy "pozitív motiváció" jobban működhet. Bár ilyen esetben meg félő, hogy nem élni fog a szabadságával, hanem visszaélni.

( tomsolo | 2010. 05. 11., k – 17:48 )

irányítsd át ogrishra (nem tudom létezik-e még) vagy a puruttyára.

Pár szívinfarktus jellegű segélykiáltás a félbetépett motorosra, méteresre megnőtt bélféreg képre utána az index.hu-t is félve ütik be.

No rainbow, no sugar

ha már mindenáron ilyen irányba akarsz menni akkor sokkal jobb ha a tiltott oldalt referből beleteszed a localhostos oldalon egy frame-be felette egy másik frame-ben meg egy pörgő számláló, hogy:

ÖN MUNKAIDŐBEN TILTOTT OLDALT TEKINT MEG EZÉRT IDŐARÁNYOSAN EKKORA ÖSSZEGŰ LEVONÁST CSATOLUNK A MUNKABÉRÉHEZ:

~ 1147.045789 HUF

No rainbow, no sugar

( nevergone v | 2010. 05. 15., szo – 16:28 )

Mondjuk a Facebook egy szinttel jobb, mint az iWiW

-----
"Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben."

Van olyan is, amikor milliós bevételeket hoz egy szakmai ismeretség a facebookon. Van olyan cégvezetés, ahol ezt felfogják, elismerik, mert profitálnak belőle. Ha valaki nem tiltja a virtparasztságot saját maga, azt semmilyen külső tiltás nem fogja lelkiismeretessé tenni. Halva született idea... Amúgy meg, smucig főnök seggéből nem szabad sajnálni a lófaszt.

nem fogja lelkiismeretessé tenni, de eggyel kevesebb lehetősége van rá. Oregonnak el kell döntenie, mi ér neki többet – a beosztottak Facebookon és Facebook által (is) szakmai kapcsolatai, vagy az az idő, amit esetleg az eper kapálásával töltenek.
Ez is ugyanez, mint a dohányzás – a munkaadónak kerül a legtöbbe. 

—-—-—
int getRandomNumber() {
	return 4;//szabályos kockadobással választva.
}		//garantáltan véletlenszerű. xkcd

( uid_16401 | 2010. 05. 17., h – 01:59 )

Rakj fel egy bindet, és vedd fel az adott domaineket authoratívnak saját IP-vel. A saját IP-re meg a vhost-al vedd fel a domaineket, és a html oldalon legyen rajta valami figyelmesztetés hogy "rossz helyre tévedtél!" + Legyen rajta szúrós tekintetű főnök arcképe is:)
A tűzfalba meg tegyél be egy szabályt ami átdob minden DNS kérést a saját resolveredre.

( mljava | 2010. 05. 26., sze – 21:09 )

Nem olvastam végig az összes hozzászólást igazi profi sem vagyok.
Ez a probléma adott nálam is. Én így oldottam meg:

Transparent proxy (squid)
Tűzfal ami alapból mindent blokkol és utána engedélyez

Ha valakinek kell valami plusz az engedélyezettek felett akkor szól. Vagy megkapja vagy nem. :)

Nálam ez működik ;)