Iptables управляют для блокирования диапазона IP для определенной строки (работы иногда)
После двухнедельного поиска и читают, я закончил с этим iptable правилом что блоки YouTube (как строка) к диапазону IP в моей офисной сети.
iptables -A FORWARD -t filter -m iprange --src-range 10.217.76.60-10.217.76.70 -m string --algo bm --string "youtube.com" -j DROP #block
Поскольку Вы видите, что компьютеры от.60 до.70 (10 машин) не могут просмотреть YouTube, в то время как, например.75 может. Правило работает только в течение нескольких минут и для некоторых клиентов. После 2 или 3 минут некоторые клиенты могут обычно просматривать YouTube. Если я закрываю браузер тех клиентов, сбрасываю правила iptables и повторно выполняю их снова, все клиенты не могут соединиться с YouTube, но это длится в течение 2-3 минут снова и для некоторых клиентов (я говорю о клиентах диапазона IP).
Кто-либо встретил это поведение снова?! Делает это имеет отношение к серверу, который я использую (человечность 11.04), кэш или что-то еще!?
У меня также есть squid3, установленный, где я блокирую http YouTube и Facebook, таким образом, я думал, устанавливая iptables, я мог сократить YouTube для https. (Но некоторым клиентам действительно нужен YouTube для работы, таким образом, я хочу отключить слушание песни и бесполезный сетевой трафик).
Править: После длинного я попробовал: iptables -I FORWARD -t filter -s 10.217.76.80/28 -m string --algo bm --string "youtube.com" -j DROP #from .80 to .95 (15 ip) и получил лучшее решение... просто некоторое время. Через какое-то время некоторые клиенты начали просматривать снова (правило не работало), в то время как другие все еще не сделали (правило работало). Я понимаю, что (как сказанный MADHatter) вещь YouTube со многими много серверов, но что я не понимаю, то, что при использовании правила как это iptables -I FORWARD -m string --algo bm --string "youtube.com" -j REJECT весь трафик для всех клиентов отклоняется навсегда не только в течение некоторого времени, единственной вещью, которую я хотел, является использование вышеупомянутое правило для диапазона IP пользователей, например, от.10 до.240, и позвольте всем другим свободно просмотреть YouTube. Вы думаете, что существует правило для этого? Все остальное подобное, которое я попробовал работавший только в течение случайного периода времени.
Вы говорите " я могу вырезать youtube для https". Это не сработает; URL-адреса на HTTPS-соединении обмениваются под покровом криптографии. Брандмауэр может находиться в потоке данных, но он не увидит этого разговора, так как к этому моменту его работа сводится к приему зашифрованных пакетов от одного интерфейса к другому.
Да, клиенты могут попытаться зайти на http://youtube.com, и вы можете десинхронизировать это конкретное http соединение. Но этот URL теперь перенаправляет их прямо на сайт https://; рано или поздно ваши клиенты поймут, что они могут получить доступ к youtube через SSL, и вы не сможете увидеть, что они делают.
Традиционным правильным методом модерации того, к каким URL можно получить доступ, является обязательный веб-прокси - но в случае с HTTPS содержимым, у вас все еще есть проблема. Вы можете использовать прокси-сервер, но если у вас нет прокси-сервера, который заново зашифровывает и повторно отправляет каждый HTTPS запрос (и каждый из ваших клиентов установил и доверяет вашему прокси-сертификату CA), это приведет к очень неудовлетворительному просмотру пользователями любого HTTPS содержимого.
tl;dr: youtube решил поручить HTTPS соединения своим сайтам, поэтому без некоторых очень сложных прокси (какие правила noddy iptables являются а не ) вы не сможете остановить ваших пользователей.