https ওয়েবসাইটগুলিতে ব্লক করতে আইপেটেবলস

9

আমি আমার ওয়েবসাইটটিতে https, ফেসবুক, টুইটার এবং জিমেইলের মতো কয়েকটি ওয়েবসাইট ব্লক করতে চাই to উচ্চতর পরিচালনার আদেশ অনুসারে স্কুইড এখানে ব্যবহার করার কথা নয়। আমরা আনটাঙ্গল লাইট প্যাকেজ এবং ব্যবহার করতে পারি iptables

এটি করার জন্য স্কুইড ছাড়া অন্য কোনও বিকল্প নেই? এছাড়াও iptablesএই জাতীয় ট্র্যাফিক ব্লক করার কিছু নিয়ম সত্যিই সহায়ক হবে।

আমি এটি খুঁজে পেয়েছি 

iptables -t filter -I INPUT -m string --string facebook.com -j LOG --algo bm
iptables -t filter -I INPUT -m string --string facebook.com -j REJECT --algo bm

তবে https স্থানীয় মেশিন বাদে মেশিনে এখনও কাজ করে।

iptables  filter 
Dharmit
সূত্র
2
আপনার কোম্পানিকে ব্যাখ্যা করা উচিত যে ব্যক্তিগত অ্যাকাউন্টের জন্য https এড়ানো কোনও ভাল ধারণা নয় কারণ এটি সংস্থার অভ্যন্তরে পরিচয় চুরি করতে পারে, সমস্ত মেশিনে একটি শংসাপত্র স্থাপন এবং মাঝখানে একজন মানুষ হিসাবে অভিনয় করা আরও ভাল উপায় হবে কিনা তা যাচাই করার উপায় ফেসবুকে সংযোগ। এছাড়াও আমি নিশ্চিত নই, তবে আমি মনে করি যে https ছাড়াই জিমেইল সংযোগ করা আর সম্ভব নয়।
কিউই
আমি কীভাবে জানতে পারি আপনি কীভাবে এই সমস্ত আইপি ঠিকানাগুলি পেয়েছিলেন pls
জগদীশ

উত্তর:

12

URL- এর ভিত্তিতে মিলের পরিবর্তে শংসাপত্রের বিষয়বস্তুর উপর ভিত্তি করে মিলের চেষ্টা করুন।

iptables -t nat -I INPUT --sport 443 -m string \
                 --string www.facebook.com --algo bm -j REJECT

আপনি আঙুলের ছাপেও মিল করতে পারেন তবে গন্তব্য যদি তাদের শংসাপত্র পরিবর্তন করে বা আপডেট করে তবে তা আপনার নিয়মকে অকার্যকর করবে।

pr0f3550r
সূত্র
এটি এইচটিএমএল বডিতেও www.facebook.com এর সাথে মেলে এমন কোনও কিছু ব্লক করতে পারে তবে মন্তব্য বাক্সে এটি বৈধ। এটি ইউআরএল স্তরে অবরুদ্ধ করা যেতে পারে তবে আইপ্যাড্রেস সম্পর্কে কী বলা যায়?
নিখিল মুলি
@ নিখিলমুলি: না, এটি কেবল ফেসবুকের দেওয়া এসএসএল শংসাপত্রের সাথে মিলবে। সমস্ত কিছু এনক্রিপ্ট করা আছে এবং দেখা যায় না।
বাহামাত
2
কেবলমাত্র কোনও সংযোগের প্রথম প্যাকেটটি natটেবিলটিতে প্রবেশ করে (এবং নাট টেবিলে কোনও ইনপুট চেইন নেই), আমার মনে হয় আপনি filterসেখানে বোঝাতে চেয়েছিলেন । এছাড়াও, একটি (খুব) দূরবর্তী সুযোগ রয়েছে যা এটি প্যাকেটের সাথে মেলে যেখানে 443 ক্লায়েন্ট বন্দর
স্টাফেন চ্যাজেলাস
কেউ কি এই সমাধান ব্যবহার করেছেন? -p tcpএই নিয়মের অভাব ছাড়াও এটি কোনও কার্যকর বলে মনে হচ্ছে না ..
ivanleoncz
10

ফায়ারওয়াল কোন HTTPS URL টি ক্লায়েন্ট অ্যাক্সেস করার চেষ্টা করছে তা নিয়ন্ত্রণ করতে পারে না, কারণ URL টি এনক্রিপ্ট করা আছে। ফায়ারওয়াল কেবলমাত্র আইপি অ্যাড্রেস ব্যবহার করে ক্লায়েন্টটি কোন সাইটের সাথে সংযোগ করছে তা নিয়ন্ত্রণ করতে পারে, তবে সাইটের HTTP এবং HTTPS সংস্করণগুলি একই ইউআরএলে থাকলে (এবং সেগুলি নাও থাকলেও আপনি করতে পারেন) আইপি ঠিকানার বিশাল তালিকা বজায় রাখতে)।

এইচটিটিপিএস অবরোধ করার একমাত্র বাস্তব উপায় হ'ল এটি সম্পূর্ণরূপে অবরুদ্ধ করা। জোর দিয়ে বলুন যে সমস্ত সংযোগগুলি অবশ্যই বৈধ HTTP (যেমন ক্লায়েন্টটি একটি HTTPলাইন প্রেরণ দ্বারা শুরু হয় , এবং আরও কিছু)। এটি কেবল আইপেটেবল দিয়েই করা যায় না, আপনার স্কুইডের মতো একটি প্রকৃত প্রোটোকল-সচেতন প্রক্সি প্রয়োজন। (আনটাঙ্গল লাইট কী সক্ষম তা আমি জানি না))

বহির্গামী ট্র্যাফিক 443 পোর্টে অবরুদ্ধ করে আপনি বেশিরভাগ এইচটিটিপিএস ট্র্যাফিক ব্লক করতে পারেন, যেহেতু প্রায় সমস্ত এইচটিটিপিএস সার্ভার সেই বন্দরে রয়েছে। বা, একটি শ্বেত তালিকাটি অনুসরণ করে, কেবল বহির্গামী ট্র্যাফিককে 80-র বন্দরের (স্বাভাবিক HTTP পোর্ট) অনুমতি দিন।

সমস্ত এইচটিটিপি এবং এইচটিটিপিএস সংযোগের প্রক্সি করার জন্য একটি ভিন্ন পদ্ধতির বিকল্প হবে। তারপরে আপনি ইউআরএল দ্বারা মিলতে পারেন। এর জন্য ক্লায়েন্টদের উপর একটি ম্যান-ইন-মিডল আক্রমণ পরিচালনা করা প্রয়োজন। আপনি যদি তা করতে পারেন তবে আপনি যদি নিজের ক্লায়েন্ট মেশিনে নিজের শংসাপত্রের কর্তৃপক্ষ স্থাপন করেন এবং বিশ্বাসের মূল হিসাবে সেখানে এটি নিবন্ধভুক্ত করেন। এটি অনৈতিক হিসাবে বিবেচিত হতে পারে।

আপনি যা করেন তা নির্ধারিত নয়, নির্ধারিত ব্যবহারকারীরা আপনার পরিবেশের বাইরে একটি প্রক্সি স্থাপন করবেন এবং এইচটিটিপি বা এর মতো কিছুতে আইপি চালাবেন।

আপনি প্রযুক্তিগত উপায়ে কোনও সামাজিক সমস্যা সমাধানের চেষ্টা করছেন বলে মনে হয়, যা খুব কমই কাজ করে, বা পরিচালনা থেকে নির্বোধের প্রয়োজনীয়তা বাস্তবায়নের জন্য আপনার যথাসাধ্য চেষ্টা করছেন (এই ক্ষেত্রে, আমি ব্লকিং পোর্ট ৪৪৩ নিয়ে যাব, সম্ভবত কেবল কিছু নির্দিষ্ট আইপি, যা আপনাকে জানাতে দেয় যে আপনি নিজের কাজটি করেছেন, তা যতই বেহুদা তা নয়) to

গিলস 'তাই খারাপ হওয়া বন্ধ করুন'
সূত্র
1
চেকপয়েন্টের মতো পেশাদার ফায়ারওয়াল সর্বশেষ সংস্করণে ক্লায়েন্টের শংসাপত্র স্থাপন না করেই https ফিল্টারিংয়ের অনুমতি দেয়, তারা কীভাবে এটি পরিচালনা করে তা আমি জানি না, তবে এটি কার্যকর হয়।
কিউই
4

আমি একটি বিকল্প জানি।

যদি আপনার ব্যবহারের জন্য অভ্যন্তরীণ ডিএনএস সার্ভার থাকে, তবে আপনার টিএলডি জোন ডেটাতে কিছু স্থিতিক রেফারেন্স রাখুন যা ডোমেনগুলি সমাধান করে (আপনি বাইরের সংযোগ স্থাপন করতে চান না) কেবল 127.0.0.1 এ। এইভাবে, আপনার নেটওয়ার্কের মধ্যে কেন্দ্রীয় ডিএনএস ব্যবহার করে সমস্ত হোস্টগুলি লগব্যাক অ্যাড্রেসে ডোমেনগুলি সমাধান করবে (ফেসবুক.com/twitter.com প্রতি সে)।

আপনার নেটওয়ার্কের ক্লায়েন্ট মেশিনগুলি রিসলভার কনফিগারেশনে আপনার মোট কর্তৃত্ব নিয়ন্ত্রণ থাকলে এটি কাজ করবে। যদি ওয়ার্কস্টেশনগুলি / ক্লায়েন্টদের / etc / ਮੇਜ਼ਬਾਨ, অথবা /etc/resolv.conf পরিবর্তন / সম্পাদনা করার অনুমতি থাকে তবে তারা এই বিকল্পটি বাতিল করতে পারে।

নিখিল মুলি
সূত্র
তার জন্য +1। এই রেফারেন্সগুলি /etc/hostsফাইলে byোকানোর মাধ্যমে এটি করা যেতে পারে । উদাহরণস্বরূপ:127.0.0.1 www.facebook.com
2
অথবা, আরও সভ্য সমাধানের জন্য, একটি ওয়েবসারর সহ একটি ইন্ট্রানেট হোস্টকে উল্লেখ করার জন্য ডিএনএস এ রেকর্ডস (বা হোস্ট / হোস্টস.টিএসটি এন্ট্রি) সেট করুন যা ব্যবহারকারীকে ফেসবুকে কেন প্রেরণ করা হয়নি, ইত্যাদি ব্যাখ্যা করে দয়া করে মনে রাখবেন যে এই বিরতিগুলি এইচটিটিপিএস কারণ উদ্দিষ্ট হোস্টনাম (যেমন www.facebook.com) শংসাপত্র সিএন এর সাথে মেলে না।
অ্যালেক্সিয়াস
@ অ্যালেক্সিয়াস: ওপেনডিএনএস এটির জন্য দুর্দান্ত সমাধান।
কেভিন এম
@ কেভিনএম: ধন্যবাদ, এটি জানার জন্য দরকারী। আমি এটি মাথায় রাখব (যদিও আমাদের নিজের নিজস্ব ডিএনএস ফার্মে কাজ আছে)
আলেকিয়াস
2

নেটওয়ার্ক ব্লকগুলিতে যাওয়ার পথে ব্ল্যাকহোল করার একটি বিকল্প হ'ল: (এফবির জন্য তালিকাভুক্ত)

ip route add blackhole 69.171.224.0/19
ip route add blackhole 74.119.76.0/22 
ip route add blackhole 204.15.20.0/22
ip route add blackhole 66.220.144.0/20
ip route add blackhole 69.63.176.0/20
ip route add blackhole 173.252.64.0/18
স্ব
সূত্র
1
না এটি নয়, ফেসবুক টুইটার বা এমন গুগল যারা নিজের আইপি রেঞ্জের ব্যাপ্তি আর যোগাযোগ করে না এমন গুগলের জন্য আইপি তালিকা বজায় রাখা জটিল।
কিউই
1

সরল সামগ্রী ফিল্টার এসএসএল সাইটটিকে অবরুদ্ধ করতে পারে না।

স্নোর্ট / সুরিকাটার মতো অনুপ্রবেশ সুরক্ষা সরঞ্জামগুলি ব্যবহার করুন

নমুনা আইপিএস বিধি : নির্দিষ্ট আইপি ঠিকানার জন্য এসএসএল ইউআরএলগুলি ব্লক করার জন্য।

drop ip any 443 -> 192.168.3.30 any (content:".facebook.com"; msg:"Simplewall Ssl block for User30 : Urls => .facebook.com " sid:26648513;rev:1;)

drop ip any 443 -> 192.168.3.30 any (content:".fbcdn.net"; msg:"Simplewall Ssl block for User30 : Urls => .fbcdn.net " ;sid:11469443;rev:1;)

drop ip any 443 -> 192.168.3.30 any (content:".youtube.com"; msg:"Simplewall Ssl block for User30 : Urls => .youtube.com " ;sid:13989722;rev:1;)

সিম্পিওয়াল ডাউনলোড করুন : স্কুইড + সুরিকাতা আইপিএস দ্বারা ভাগ করা সরলওয়াল নীতি নিয়মে।

চেতন মুনেশ্বর
সূত্র
0

আপনার এটি ফরওয়ার্ড চেইনে রাখা উচিত, যেমন

iptables -I FORWARD  -m string --string "facebook.com" \
                     --algo bm --from 1 --to 600 -j REJECT

এটি ফায়ারওয়াল বাদে নেটওয়ার্কের অন্যান্য সিস্টেমে প্রভাব ফেলবে।

Senthamil
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.