Jump to content
  • 50
Bobr

URL-фильтрация

Question

Планируется ли вернуть URL фильтрацию (как это было на 1 версиях прошивки для старых белых кинетиков) ? в тв начали пихать рекламу в смарт, хочу заблокировать.

  • Thanks 2
  • Upvote 2

Share this post


Link to post
Share on other sites

Recommended Posts

  • 1
Планируется ли вернуть URL фильтрацию...

Поддерживаю. Тоже очень нужно :!::idea:

Share this post


Link to post
Share on other sites
  • 2

Подниму тему, ибо очень интересно иметь такую опцию непосредственно в роутере из коробки, без плясок с бубнами и погремушками.

Share this post


Link to post
Share on other sites
  • 0
В 18.07.2016 в 13:17, BACbKA сказал:

Подниму тему, ибо очень интересно иметь такую опцию непосредственно в роутере из коробки,

SkyDNS доступен из коробки, а в чёрный и\или белый списки домены можно добавлять самому. Проверено, работает.

 

PS Кстати, URL-фильтр в ядре не совместим с аппаратным ускорением, поэтому при включении URL-фильтра на роутерах ASUS, к примеру, последние иногда превращаются в тыкву при работе торрент-клиента в локалке.

Edited by Александр Рыжов

Share this post


Link to post
Share on other sites
  • 1

+1, нужно собственное средство фильтрации, ибо использование сторонних сервисов дает кучу ненужных блокировок (привет РН-зу)

  • Thanks 1

Share this post


Link to post
Share on other sites
  • 2
В 22.07.2016 в 15:56, Александр Рыжов сказал:

SkyDNS доступен из коробки, а в чёрный и\или белый списки домены можно добавлять самому.

Ну, как по мне, так это плагин платного сервиса включённый в роутер. А хотелось бы не плагином фильтровать, а фильтровать это именно межсетевым экраном самого роутера. Без всякого рода отсылки на сервисы, подобные SkyDNS.

  • Thanks 2

Share this post


Link to post
Share on other sites
  • 2

Поддерживаю! очень нужная функция. Типа Родительский контроль).

Share this post


Link to post
Share on other sites
  • 3

Наберусь храбрости и таки апну старую тему.

Share this post


Link to post
Share on other sites
  • 0
В 08.12.2016 в 14:59, reevz сказал:

Поддерживаю! очень нужная функция. Типа Родительский контроль).

 

Добрый день

Можно ли реализовать контекстный контроль?

Например, хочу заблокировать канал на ютубе для детей.

Стандартные средсва типа яндекса и скайднс блокируют только домен :(

 

Эсли можно, например открытими пакетами, то какими лучше, и есть ли опыт успешной реализации?

Edited by ydzhus

Share this post


Link to post
Share on other sites
  • 1
13 часа назад, ydzhus сказал:

 

Добрый день

Можно ли реализовать контекстный контроль?

Например, хочу заблокировать канал на ютубе для детей.

Стандартные средсва типа яндекса и скайднс блокируют только домен :(

 

Эсли можно, например открытими пакетами, то какими лучше, и есть ли опыт успешной реализации?

Youtube работает через quic (UDP) и TLS. Такой трафик невозможно фильтровать без MITM.

Share this post


Link to post
Share on other sites
  • 0

А по сайтам https вообще URL фильтрация возможна?

Share this post


Link to post
Share on other sites
  • 0
9 минут назад, MDP сказал:

А по сайтам https вообще URL фильтрация возможна?

MITM или явный proxy

Share this post


Link to post
Share on other sites
  • 1

Остается надеяться, что найдется человек со знаниями и прямыми руками, которому это нужно и прикрутит к примеру прозрачный mitmproxy на роутер ну и в идеальном варианте добавит возможность правки перенаправляемых ссылок в графическом интерфейсе.
Ну и второй немаловажный фактор, что для этого хватит аппаратных ресурсов роутера :)

Share this post


Link to post
Share on other sites
  • 1

Всё-таки буду настойчив, апну тему. А то даже в DIR-615 это есть, а тут почему-то нет :(

Share this post


Link to post
Share on other sites
  • 0
5 минут назад, BACbKA сказал:

А то даже в DIR-615 это есть, а тут почему-то нет

Потому что DIR-615 соответствует интернет-реалиям на момент своего выпуска в 2009-м году, а HTTPS, напомню, появился позже. Теперь HTTPS трафика больше половины, а фича URL-фильтрации для него бесполезна.

Share this post


Link to post
Share on other sites
  • 0
В 1/31/2017 в 17:51, m__a__l сказал:

Остается надеяться, что найдется человек со знаниями и прямыми руками, которому это нужно и прикрутит к примеру прозрачный mitmproxy на роутер ну и в идеальном варианте добавит возможность правки перенаправляемых ссылок в графическом интерфейсе.
Ну и второй немаловажный фактор, что для этого хватит аппаратных ресурсов роутера :)

Будете заходить на youtube, почту или в онлайн-банкинг, когда браузер вам будет постоянно кричать о "поддельное соединение, мошенники! уходим отсюда!" ?

Share this post


Link to post
Share on other sites
  • 0
5 часов назад, BACbKA сказал:

Всё-таки буду настойчив, апну тему. А то даже в DIR-615 это есть, а тут почему-то нет :(

Сначала проверьте как это работает на 615, а потом предлагайте нам сделать :) Настолько же плохо - не хочется.

  • Thanks 1

Share this post


Link to post
Share on other sites
  • 1

Поддерживаю просьбу добавить фильтрацию (не только по URL, а еще и по портам), независимую от внешних сервисов.

До Keenetic Giga (KN-1010) был NetGear WNR3500L c прошивкой Tomato, где была функция "Access Restriction". Иногда было очень удобно решить простую задачу. И это было реализовано не простым блокированием DNS-запросов, можно было выбрать протокол, порт, расписание и т.п.

09-Access-Restriction-2012-06-13_210804-

Share this post


Link to post
Share on other sites
  • 1
14 часа назад, ruschestor сказал:

Поддерживаю просьбу добавить фильтрацию (не только по URL, а еще и по портам), независимую от внешних сервисов.

До Keenetic Giga (KN-1010) был NetGear WNR3500L c прошивкой Tomato, где была функция "Access Restriction". Иногда было очень удобно решить простую задачу. И это было реализовано не простым блокированием DNS-запросов, можно было выбрать протокол, порт, расписание и т.п.

09-Access-Restriction-2012-06-13_210804-

Вы читали посты выше?

Несколько раз было повторено, что в современном Интернет, где SSL-трафика больше половины, это НЕВОЗМОЖНО без MITM и снижения уровня безопасности соединений (ну или везде сапомодписанные корневые сертификаты пользователя заставлять пихать).

Технически как себе представляете работу этой фичи?

Share this post


Link to post
Share on other sites
  • 0
1 час назад, Le ecureuil сказал:

Технически как себе представляете работу этой фичи? 

Скрин от Tomato это скорей всего реализация L7 фильтра или при его disable то использование например библиотеки "opendpi" в месте с iptables. Работает в виде библиотеки xtables.

Скрытый текст

#ifdef HAVE_OPENDPI
                  insmod("xt_ndpi");
                  insmod("xt_opendpi");
                 /*commonly used protocols, decending */
                save2file("-A advgrp_%d -m ndpi --bittorrent -j %s\n", seq, log_drop);

Module                  Size  Used by

xt_opendpi            276292  0
xt_DSCP                 1412  1

root@My:/proc/3348/net/xt_ndpi# cat proto
#id mark     ~mask     name
00         0/000000ff unknown
01         1/000000ff ftp_control
02         2/000000ff pop3
03         3/000000ff smtp
04         4/000000ff imap
05         5/000000ff dns
06         6/000000ff ipp
07         7/000000ff http
08         8/000000ff mdns
09         9/000000ff ntp
0a         a/000000ff netbios
0b         b/000000ff nfs
0c         c/000000ff ssdp
0d         d/000000ff bgp
0e         e/000000ff snmp
0f         f/000000ff xdmcp
10        10/000000ff smb
11        11/000000ff syslog
12        12/000000ff dhcp
13        13/000000ff postgres
14        14/000000ff mysql
15        15/000000ff tds
16        16/000000ff direct_download_link
17        17/000000ff pop3_ssl
18        18/000000ff applejuice
19        19/000000ff directconnect
1a        1a/000000ff socrates
1b        1b/000000ff winmx
1c        1c/000000ff vmware
1d        1d/000000ff mail_smtps
1e        1e/000000ff filetopia
...

3c        3c/000000ff http_app_veohtv
3d        3d/000000ff qqlive
3e        3e/000000ff thunder
3f        3f/000000ff soulseek
40        40/000000ff ssl_no_cert
41        41/000000ff irc
42        42/000000ff ayiya
43        43/000000ff unencryped_jabber
44        44/000000ff msn
45        45/000000ff oscar
46        46/000000ff yahoo
47        47/000000ff battlefield
48        48/000000ff quake
49        49/000000ff ip_vrrp
4a        4a/000000ff steam
4b        4b/000000ff halflife2
4c        4c/000000ff worldofwarcraft
4d        4d/000000ff telnet
4e        4e/000000ff stun
4f        4f/000000ff ip_ipsec
50        50/000000ff ip_gre
51        51/000000ff ip_icmp
52        52/000000ff ip_igmp
53        53/000000ff ip_egp
54        54/000000ff ip_sctp
55        55/000000ff ip_ospf
56        56/000000ff ip_ip_in_ip
57        57/000000ff rtp
58        58/000000ff rdp
59        59/000000ff vnc
5a        5a/000000ff pcanywhere
5b        5b/000000ff ssl
5c        5c/000000ff ssh
...

73        73/000000ff pptp
74        74/000000ff warcraft3
75        75/000000ff world_of_kung_fu
76        76/000000ff meebo
77        77/000000ff facebook
78        78/000000ff twitter
79        79/000000ff dropbox
7a        7a/000000ff gmail
7b        7b/000000ff google_maps
7c        7c/000000ff youtube
7d        7d/000000ff skype
7e        7e/000000ff google
7f        7f/000000ff dcerpc
80        80/000000ff netflow
81        81/000000ff sflow
82        82/000000ff http_connect
83        83/000000ff http_proxy
84        84/000000ff citrix
85        85/000000ff netflix
86        86/000000ff lastfm
87        87/000000ff grooveshark
root@My:/proc/3348/net/xt_ndpi#

root@My:/proc/3348/net# cat ip_tables_matches
ndpi
u32
string
state
pkttype
mac
limit
conntrack
conntrack
conntrack
connlimit
connbytes
comment
connmark
connmark
mark
mark
ipp2p
webstr
ah
icmp
tcpmss
layer7
recent
recent
multiport
length
iprange
ttl
esp
ecn
conntrack
udplite
udp
tcp
root@My:/proc/3348/net#

 

... -m opendpi --http -j DROP

... -m ndpi --bittorrent -j DROP

... -m ndpi --apple -j DROP

и т.д.

 

Share this post


Link to post
Share on other sites
  • 2
7 часов назад, Le ecureuil сказал:

Вы читали посты выше?

Несколько раз было повторено, что в современном Интернет, где SSL-трафика больше половины, это НЕВОЗМОЖНО без MITM и снижения уровня безопасности соединений (ну или везде сапомодписанные корневые сертификаты пользователя заставлять пихать).

Технически как себе представляете работу этой фичи?

Конечно. Я и не говорю об HTTPS. Функционал Tomato, как я написал, позволяет блокировать не только HTTP запросы, но и другие протоколы/порты. Возможности этой фичи много шире чем просто фильтрация DNS запросов.

Share this post


Link to post
Share on other sites
  • 0
4 минуты назад, ruschestor сказал:

Конечно. Я и не говорю об HTTPS. Функционал Tomato, как я написал, позволяет блокировать не только HTTP запросы, но и другие протоколы/порты. Возможности этой фичи много шире чем просто фильтрация DNS запросов.

Какую скорость маршрутизации выдает ваше устройство на Tomato при таком работающем компоненте? Что за устройство / процессор?

Share this post


Link to post
Share on other sites
  • 0
1 минуту назад, sergeyk сказал:

Какую скорость маршрутизации выдает ваше устройство на Tomato при таком работающем компоненте? Что за устройство / процессор?

Устройство - NetGear WNR3500L. Процессор - Broadcom BCM4718.

Не знаю как измерить скорость маршрутизации, но задержки "на глаз" заметны не были.

Share this post


Link to post
Share on other sites
  • 0
1 минуту назад, ruschestor сказал:

Устройство - NetGear WNR3500L. Процессор - Broadcom BCM4718.

Не знаю как измерить скорость маршрутизации, но задержки "на глаз" заметны не были.

speedtest подошел бы.

Share this post


Link to post
Share on other sites
  • 1
14 часа назад, ruschestor сказал:

Устройство - NetGear WNR3500L. Процессор - Broadcom BCM4718.

Не знаю как измерить скорость маршрутизации, но задержки "на глаз" заметны не были.

Включите торрент на ПК на всю скорость, и при этом пару фильтров. Лучший тест.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...