Linux блокировка сайтов по url

Обновлено: 01.07.2024

Киберполиция Украины опубликовала доходчивое руководство для провайдеров о том как блокировать доступ к определённым вебресурсам.

Департамент киберполиции Национальной полиции Украины рекомендует осуществлять указанные действия используя следующие методы / способы:

a) блокировка по IP-адресам;

b) блокировки с помощью DNS;

c) блокировка сайтов по URL;

Обращаем внимание на то, что наиболее эффективным методом из данного перечня является метод блокировки по IP-адресам.

Для внедрения каждого из этих методов приводим примеры настройки оборудования, не требующие финансовых затрат и приобретение дополнительной техники.

а) Блокировка по IP-адресам:

1. Перечень IP-адрес для блокировки можно получить с помощью использования команд ping или dig в перечень ссылок (веб-адрес ресурсов / сервисов) указанных в приложении 2 к Указу.

Пример команды ping

Пример команды dig (Linux)

Создайте отдельный документ с перечнем этих ip-адресов.

Ир-адреса необходимы для проведения блокировки, рекомендуем определять раз в сутки.

2. После получения списка ip-адресов, рекомендуем настроить оборудование следующим образом:

2.1. Для Junos (серии продуктов Juniper, коммутаторы, маршрутизаторы - MX, EX, SRX . ): Создаем префикс письмо blacklist-ip со списком заблокированных IP

. так же добавляем все ир адреса из полученного перечня.

2.1.1. Создаем правило firewall ( term в понимании Juniper)

2.1.2. Применяем фильтр blacklist-ip-drop к uplink-интерфейса или downlink-интерфейса или на все интерфейсы.

2.1.3. Применяем новый файл конфигурации командой commit

2.1.4. Если команда commit исполнилась без ошибок, проверяем доступность веб-адресов ресурсов / сервисов указанных в приложении 2 к Указу.

Напоминаем о том, что, если на вашем оборудовании уже используется фильтр для блокировки портов или IP-адресов, то необходимо к нему добавить созданный term drop в его начало, потому что term обрабатывается сверху донизу, и обязательно должен заканчиваться правилом accept . По умолчанию выполняется политика для трафика DROP. На коммутаторах серии ЕХ эти команды нужно применять только для интерфейсов в режиме L3.

2.2. Для маршрутизаторов Mikrotik

2.2.1. Создаем address-list со списком ip-адресов, нужно блокировать:

. так же добавляем все ip-адреса из полученного перечня.

2.2.2. Создаем правило фильтра для блокировки по данным, содержащимся в address-list

Фильтр добавляется первым в цепи правил firewall , после проверки недоступности заблокированного ресурса, в поле счетчика пакетов по этим будет накапливаться статистика заблокированных пакетов если правило активно и работает.

2.2.3. Проверяем доступность веб-адресов ресурсов / сервисов указанных в приложении 2 к Указу.

2.3. Для маршрутизаторов, работающих на базе OS Linux

2.3.1. Создаем ipset list со списком ip-адресов, нужно блокировать

. так же добавляем все ир адреса из полученного перечня.

2.3.2. Создаем правило фильтра для блокировки

Приведенный пример блокировки применено на интерфейсе vlan1111 .

Можно изменить это правило для блокировки по всем интерфейсами:

Фильтр добавляется первым в цепи правил firewall .

2.3.3. Проверяем доступность веб-адресов ресурсов / сервисов указанных в приложении 2 к Указу.

2.4. Для маршрутизаторов CISCO

2.4.1. Создаем access-list по номеру 101 (номер указан для примера) со списком ip-адресов, нужно блокировать

. так же добавляем все ир адреса из полученного перечня.

2.4.2. В конце access-list добавляем правило, позволяющее проходить другом трафика.

2.4.3. Применяем фильтр access-list 101 до uplink-интерфейса или downlink-интерфейса или на все интерфейсы

2.4.4. Применяем новый файл конфигурации командой write

2.4.5. Если команда write выполнилась без ошибок, проверяем доступность веб-адресов ресурсов / сервисов указанных в приложении 2 к Указу.

b) конфигурирования DNS-сервера на базе Unix-подобных OS (на примере Bind - открытой и распространенной реализации DNS-сервера, что обеспечивает выполнение преобразования DNS-имени в IP-адрес).

1. Пересмотреть содержание файла /etc/bind/named.conf и убедиться, что существует запись "include" /etc/bind/named.conf.local "," , если нет - добавить его.

2. Редактирование файла /etc/bind/named.conf.local , к которому прилагаются записи о зонах доменных имен, которые необходимо блокировать. пример:

. и т.д. (в соответствии с Приложением 2 Указа Президента Украины № 133/2017 от 15.05.2017)

3. Создать файл /etc/bind/db.block.rf с последующим содержанием

с) Блокировка сайтов по ссылке (URL)

Реализовать указанную технологию блокировки ресурсов / сервисов возможно в виде прозрачного прокси-сервера:

Процесс блокировки сайтов по ссылке в общем виде будет выглядеть следующим образом:

  • согласно приложению 2 Указа Президента Украины № 133/2017 от 15.05.2017, определяется список ссылок на ресурсе / сервисы, которые необходимо заблокировать;
  • ссылки добавляются в блокирующий прокси-сервер;
  • запросы пользователей к сайту из перечня перенаправляются на фильтрующий прокси-сервер;
  • прокси-сервер делает проверку на совпадение адреса с имеющимися образцами;
  • в случае установления прямого совпадения, соединение прерывается (или направляется на страницу с предупреждением, или просто разъединяется)
  • если запрос не совпадает с заблокированным URL, соединение будет продолжено.

2. Общие рекомендации для предприятий, учреждений и организаций всех форм собственности.

Специалистами Департамента было проведено исследование определенного программного продукта.

Блокировка нежелательных URL с помощью iptables

stop.jpg

Далее собственно примеры блокировки с небольшим пояснением. Реализовано все на основе patch-o-matic, дополнение к iptables от Netfilter. Используем модуль string для достижения цели.


iptables -A FORWARD -m string --string "vkontakte.ru" --algo kmp --to 65535 -j DROP

Все запросы пользователей использующих данную машину как шлюз потерпят неудачу при попытке открыть сайт напрямую или через прокси, так же не будет работать ресурс и через веб прокси.

Для блокировки адресов на линукс машине немного отредактируйте правило


iptables -A INPUT -m string --string "vkontakte.ru" --algo kmp --to 65535 -j DROP

А каким образом можно сделать отдельный файл со списком запрещенных УРЛов, а айпитаблес брало бы данные из него?

Неплохое решение, eric.

Вырезать всем кому особо не нужен интернет все сайты сквидом, оставить только нужные. Кому надо весь, или много, порезать айпитэйблес. Не думаю что по работе могут пригодится сайты с упоминанием торрентс.ру. Открыватся они не будут, это иногда портит картину от использования данных правил. На самом деле, проще наоборот ничего не закрывать, а просто пустить весь трафик через сквид, и считать кто сколько времени проводит на сайтах не имеющих отношения к работе, затем переводим время в деньги из зарплаты, вычитаем. Через пару месяцев никто не захочет сидеть там если например за час на сайте вконтакте придется отдать 500-1000 рублей. Я работал в одной конторе, там все было открыто, но гиг трафика не по работе стоил 100$, и все сайты которые ты посещал видит твой начальник, и в конце месяца он просто спросит тебя, а что ты делал на том то сайте? Зная это никуда лезть не хотелось. А чем больше ты будешь пытаться закрыть эти сайты тем больше люди предпримут попыток попасть на них.

5 способов заблокировать сайты и ограничить время экрана в Linux

У пользователей Linux есть дети, как и у всех остальных. Когда приходит время передавать компьютер, некоторые родители хотели бы немного помочь, чтобы их дети не выходили за борт и не заходили в определенные уголки сети.

К сожалению, бесплатное программное обеспечение для родительского контроля с открытым исходным кодом не является чем-то особенным, и большинство настольных систем на базе Linux не имеют встроенных функций. Но это не значит, что вам не повезло. Вот несколько вариантов, доступных для вас.

1. Ограничить время экрана с элементарной ОС

Встроенные настройки родительского контроля на элементарной ОС

Большинство десктопов Linux не поставляются с программным обеспечением для родительского контроля, но это не значит, что ни один из них не делает. Одна из наиболее популярных версий — исключение из правила: elementaryOS

Вы можете найти родительский контроль в приложении «Системные настройки». Там вы можете ограничить использование компьютера определенным временем суток. Вы также можете назначить больше использования компьютера в выходные дни, чем в будние дни.

elementaryOS требует, чтобы вы создали отдельную учетную запись для ваших детей. Если на вашем компьютере есть приложения, которые вы не хотите, чтобы они использовали, вы можете заблокировать их. Вы также можете заблокировать доступ к определенным веб-сайтам. Это не отфильтровывает типы контента, но может помешать им посещать какой-то конкретный тратящий время или хлопотный сайт, с которым они столкнулись.

Чтобы изменить настройки родительского контроля или установить дополнительные приложения, ваши дети должны будут знать пароль, связанный с учетной записью администратора (которая, вероятно, ваша). Пока они не знают и не угадывают ваш пароль, вы можете идти.

2. Установите расширения в Firefox или Chrome

Расширения родительского контроля доступны для веб-браузера Firefox

Те же расширения веб-браузера для родительского контроля, которые работают в Windows и macOS, также работают в Linux. Mozilla Firefox предустанавливается на многие рабочие столы Linux, а Google Chrome легко загружается.

Хотя расширения предлагают, пожалуй, самый простой способ начать фильтрацию веб-контента, они также очень ограничены. Ребенок может обойти любые ограничения, установленные в Firefox, установив другой браузер. Плюс надстройки легко отключить.

Даже если ваш ребенок еще не имеет большого опыта работы с компьютером, компьютерные фильтры могут ускорить процесс. В конце концов, многие из нас многому научились, пытаясь обойти ограничения на школьные компьютеры, когда были моложе. Ребенок может быстро узнать, как отключить расширение и снова включить его, когда вы закончите, а вы не будете мудрее.

3. Отредактируйте файл Hosts для блокировки сайтов.

Файл hosts — это простой текстовый файл, который служит небольшим шлюзом между вами и сетью. Прежде чем ваш браузер загрузит IP-адрес сайта, он сначала проверяет файл hosts. Если ваш файл hosts отображает другой адрес, который указывает на ваш локальный компьютер, например 127.0.0.1, то браузер скажет, что сайт не найден.

Сайт эффективно заблокирован, если у вашего ребенка нет доступа к вашему паролю администратора.

Хотя для редактирования файла hosts требуется больше технических знаний, чем для настройки расширений веб-браузера, это все равно влияет только на ваш компьютер. В то время, когда смартфоны, планшеты и несколько компьютеров часто проходят по дому, это может быть скорее скоростным ударом, чем препятствием. Плюс, опять же, черные списки не могут надеяться заблокировать весь нежелательный контент в Интернете.

Но следующий вариант устраняет оба этих недостатка.

4. Фильтрация веб-контента с помощью OpenDNS

OpenDNS — это бесплатный сервис, который может блокировать доступ веб-сайтов через ваш маршрутизатор. Таким образом, вы можете запретить загрузку сайтов на компьютерах, планшетах и ​​интеллектуальных устройствах.

Сервис предлагает несколько вариантов фильтрации. А «низкий» установка попытки отфильтровывать порнографии, в то время как «высокий» установка также блокируют социальную сеть, сайты обмена видео, а также незаконная деятельность. Вы также можете блокировать сайты, которые тратят время.

Вы можете просмотреть различные варианты и найти руководства по настройке на веб-сайте OpenDNS . Этот процесс немного технический, что может снизить вероятность того, что ваши дети найдут способ отменить их, особенно если они младше.

Тем не менее, остается один простой и очевидный обходной путь. OpenDNS не делает ничего, чтобы блокировать контент, поступающий через сотовую сеть. Если у вашего ребенка есть смартфон с тарифным планом передачи данных, он все равно может получить доступ ко всей сети, если вы не установите родительский контроль на своем мобильном устройстве. Хотя, если у них ограниченный объем данных, это может ограничить некоторую активность — по крайней мере, пока их друг не придет со своим собственным смартфоном.

5. Мониторинг использования с StaffCounter и KidLogger

Программа StaffCounter, настроенная для KidLogger

Изображение предоставлено: KidLogger

Может быть, вы пришли к выводу, что попытка заблокировать нежелательные сайты просто не стоит усилий, но вы не готовы доверять своему ребенку в навигации по Интернету без присмотра. Рекомендуется не пускать компьютеры в спальню и ограничивать детей рабочим столом в общественных местах дома.

Но даже если вы выросли без компьютера дома, вы, вероятно, узнали на работе, как легко минимизировать то, что вы делаете, когда приходит начальник.

Поэтому, если вы не хотите, чтобы ваши окна были свернуты, вы можете получать журнал каждого сайта, который посещает ваш ребенок. KidLogger может сделать это, а также сообщать имена каждого активного окна, отслеживать, какие приложения работают, и делать скриншоты каждые несколько минут.

KidLogger не предоставляет приложения для Linux, но служба работает с помощью программы StaffCounter, инструмента, который используется для мониторинга того, что сотрудники делают на работе. Вы можете найти описание того, как это сделать, в блоге KidLogger .

Загрузить: StaffCounter (бесплатно)

Стоит ли вообще использовать программное обеспечение для родительского контроля?

Программное обеспечение для родительского контроля может не стоить усилий. Для начала, сеть обширна, и новые сайты появляются постоянно. Мало того, что технически невозможно разработать систему, которая может блокировать весь неприемлемый контент, но многие родители не согласны с тем, что считается неприемлемым!

Даже если вам удастся найти или обучить фильтр, который делает то, что вам нужно, и настроить родительский контроль, который ваш ребенок не может обойти которыми ваши которыми ваши , вы, возможно, проделали всю эту работу, чтобы обнаружить, что вы получили обиду вашего ребенка. В конце концов, никакое техническое решение не может служить заменой для обучения вашего ребенка тому, как ответственно пользоваться Интернетом.

черный список сайтов

Защита и угрозы

Поэтому решил написать большую статью-инструкцию для:

Все списки будут постоянно пополняться как мной, так и Вами! Если у вас будут предложения для внесения сайтов в тот или иной черный список пишите его, в комментарии к статье или мне на почту, Сделаем сеть чище!

Черный список сайтов для детей

Тут я вам расскажу как можно блокировать сайты:

  • На уровне вашего роутера (и доступ к сайтам не будет даже с телефона если они будут работать через wifi)
  • С помощью Антивируса
  • Стандартными средствами самой Windows
  • С помощью Яндекса

Запретить доступ к сайтам на роутере

Если вы хотите сами контролировать весь процесс блокировки на домашних компьютерах и вести свой список запрещенных сайтов, то первых три способа являются полностью ручными и только Вы сможете вносить эти данные! В этом есть конечно свои плюсы и минусы

Плюсы ручного режима блокировки списка черных сайтов:

  1. вы полностью контролируете весь список сайтов
  2. вы становитесь более продвинутым пользователем с компами и девайсами
  1. Нужно постоянно вносить десятки сайтов в день
  2. время которое вы тратите на эту процедуру

ПО мне это основные плюсы и минусы, можно было написать пару талмудов, но это лишнее

так вот, для блокировки сайтов через роутер, а эти штуковины сейчас стоят в каждой квартире и раздают нам интернет через wifi )))

Инструкция для блокировки сайтов на роутере:

Как заблокировать сайт с помощью антивируса

Я всегда использую только касперский, как бы его не хаяли и как бы кто к нему не относился, по мне это единственный антивирус который верой и правдой заслужил мое уважение от такой гадости как:

  • Блокировка вложений с шифровальщиками
  • Вирусами всех мастей

Поэтому я буду показывать блокировку сайтов на примере касперского, но не думаю, что это будет как то кардинально отличаться в логике и последовательности конкретно вашего антивируса который стоит на компьютере:

Блокировать сайты через hosts

Еще один популярный способ блокировать сайты стандартными методами самого windows! Кстати раньше использовался вирусописателями и через него блокировали доступ в интернет, но теперь этой возможностью будем пользоваться мы )

Это означает, что если мы сюда внесем на блокировку сайты то они будут блокироваться с наибольшим приоритетом!

Как блокировать через host:

как блокировать сайты через hosts

  1. Через проводник находим файл host который находится по следующему пути C:\Windows\System32\drivers\etc
  2. и открываем через блокнот файл host
  3. В этом файле синтаксис такой, в самом низу пишем 172.0.0.1 ставим проблем и пишем домен сайта доступ к которому хотим запретить
  4. и этот список можно вести до бесконечности!

Ограничиваем доступ к сайтам через Яндекс ДНС

Вот что нам на это говорит яндекс:

Яндекс ДНС

Скорость работы Яндекс.DNS во всех трёх режимах одинакова. В «Базовом» режиме не предусмотрена какая-либо фильтрация трафика. В «Безопасном» режиме обеспечивается защита от заражённых и мошеннических сайтов. «Семейный» режим включает защиту от опасных сайтов и блокировку сайтов для взрослых.

режимы работы яндекс ДНС

Для того что бы воспользоваться Яндекс ДНС (этот сервис абсолютно бесплатный!) Необходимо просто прописать на роутере или на компьютере в сетевых настройках вашей сетевой платы один из ДНС серверов с рис. 8

настрока яндекс ДНС в сетевой карте

Теперь мы знаем способы как можно заблокировать сайты, перейдем теперь непосредственно к самим спискам блокировки

Списки сайтов для блокировки

Данные списки актуальны на начало 2020 года, и по возможности и вашей активности я буду их обновлять и дополнять, но если у вас есть свои списки присылайте их мне и я буду дополнять базу:

Читайте также: