Мы начинаем публикацию серии статей об оборудовании Draytek с описанием кейсов и необходимых настроек для разного рода задач. Надеемся, что эти статьи будут вам полезны. Итак, начнем:

Facebook или другие зашифрованные HTTPS сайты могут блокироваться с помощью «URL Content Filter»(Фильтр URL контента) и «DNS Filter» (Фильтр DNS). Тем не менее, если мы хотим заблокировать все веб-сайты социальных сетей, Web Content Filter (Фильтр Веб контента) – это самый удачный выбор.

Web Content Filter – простой фильтр на основе категорий, который помогает сетевым администраторам эффективно контролировать использование Интернета, чтобы удовлетворять все запросы бизнеса. Здесь показано, как использовать Web Content Filter и DNS Filter и блокировать все веб-сайты социальных сетей.

image

1. Перейдите в CSM >> Web Content Filter Profile (CSM>>Профиль Фильтра Веб контента).
a. Убедитесь, что лицензия Cyren активирована. (Проверьте: «Как зарегистрировать мой маршрутизатор Vigor и активировать бесплатную лицензию WCF Trial?»).
b. Щелкните на Index 2 (Индекс 2), чтобы установить профиль.

image

2. Для того, чтобы установить профиль Web Content Filter, необходимо выполнить следующие действия:
a. Отредактируйте profile name (название профиля), в данном случае мы вводим название Social Network (Социальная Сеть)
b. Выберите тип действия Block (Блокировать)
c. Выберите Social Network (Социальная Сеть) в Категориях

image

3. Перейдите в CMS >> DNS Filter (CMS >> Фильтр DNS) и активируйте DNS Filter
a. Щелкните на номер Индекса профиля в Таблице DNS Filter Profile (Профиль DNS Фильтра)
b. Введите Profile Name (Название профиля)
c. Выберите WCF в качестве Web Content Filter Profile, созданного на Этапе 2
d. Щелкните OK и сохраните

image

Если клиент LAN использует Маршрутизатор Vigorв качестве DNS-сервера, не забудьте использовать DNS Filter Local Setting (Локальные настройки фильтра DNS), показанные на рисунке ниже. Ознакомьтесь со статьей: «В чем разница между DNS Filter Profile и DNS Filter Local Setting?». И узнайте больше.

4. Чтобы применить Web Content Filter и DNS Filter, перейдите в Сетевой экран >> Установка Фильтра >> Шаг 2. (Фильтр данных по умолчанию)
a. Щелкните на номер Filter Rule (Правило фильтра)
b. Активируйте Filter Rule
c. Отредактируйте Источник IP, если вы хотите заблокировать только некоторые IP социальных сетей
d. Выберите Фильтр как Pass Immediately (Пройти немедленно)
e. Выберите Web Content Filter в качестве профиля, созданного на Этапе 2
f. Выберите DNS Filter в качестве профиля, созданного на Этапе 3
g. Щелкните OK и сохраните

image

5. После завершения вышеуказанных настроек, все веб-сайты социальных сетей будут заблокированы с помощью Web Content Filter и DNS Filter с Маршрутизатором Vigor, даже если веб-сайт использует HTTPS. На картинке ниже Вы видите заблокированный Facebook, Instagram и Twitter.

image

image

image

Исправление проблем:

Если веб-сайты не блокируются, как ожидалось, пожалуйста, сделайте следующее:

1. Очистите куки браузера и его историю.

2. Очистите кэш DNS на компьютере, для пользователей Windows, это можно сделать путем ввода команды «ipconfig/flushd» в командной строке.

image

3. Убедитесь, что шлюз по умолчанию – это Маршрутизатор Vigor

image

4. Проверьте DNS-сервер компьютера, введите «nslookup» и проверьте DNS-сервер Вашего компьютера.

image

a. Если сервер является открытым DNS-сервером, убедитесь, что шлюз компьютера установлен на Маршрутизатор Vigor. Также проверьте, есть ли другое Правило фильтрации (Filter Rule), которое может уже провести пакет.
b. Если сервер является внутренним сервером DNS, убедитесь, что шлюз внутреннего сервера DNS устанавливается на Маршрутизатор Vigor.
c. Если сервер – «Ваш Маршрутизатор Vigor», включите DNS Filter Local setting в CSM >> DNS Filter (Локальные настройки фильтра DNS >> Фильтр DNS) вместо применения DNS Filter Profile (профиль фильтра DNS) для Firewall Rule (Правило брандмауэра) и обратите внимание, что DNS Filter Local Setting (Локальные настройки фильтра DNS) будут применяться ко всем клиентам в локальной сети, которые используют маршрутизатор в качестве DNS-сервера.

image
Поделиться с друзьями
-->

Комментарии (8)


  1. amarao
    10.06.2016 15:59
    +1

    Но пользователь при этом продолжает пользоваться социальными сетями! Он всего лишь заходит на первый попавшийся сервис с novnc и графической средой и запускает браузер там, и сидит, и чатится вместо того, чтобы работать.

    Не работает ваш сервис, за что деньги просите — не понятно.


    1. skylevels
      11.06.2016 10:21

      Зря вы так, на многих предприятиях руководство ставит подобные задачи по блокировке. И производительность труда увеличивается безспорно. Есть люди которым интернеты по работе нужны не более 15 минут в день, и открывать им социалки — значит платить зарплату в пустую (особенно сотрудникам с по временной оплатой труда).
      Еще считаю запрет нужен молодёжи 18-24г, которые чуть разгребут дела, сразу с головой погружаются в vk и никакие увещевания об использовании свободного времени для саморазвития не помогают).
      К томуже 90% пользователей не умеют обходить такую блокировку.
      Пользуюсь на работе Zyxel ZyWall 310 там кроме CT есть еще и Aplication Patrol — контроль трафика на уровне приложений (в частности распознает https трафик по сертификату).
      Сам CT от социалок слабо защищает. А вот совместно с AP получается самое оно.


  1. 74311
    10.06.2016 17:43
    +1

    запрещай не запрещай-все равно обойдут… лучше бы кто сделал такую штуку типа «кнопка лояльности или ненависти»что убирала бы упоминания о ресурсе из поисковика(на конкретной машине)… те ненравится политика ресурса(например поисковик пишет есть серия N сериала M-заходиш там пусто, или ищеш работу в своем городе-а он тебе другие города всовывает… но по оформлению строчки поисковой выдачи это неочевидно)жмеш кнопку «никогда больше не показывать»и забываеш что есть такая кака(а всякого сейчас) в сети тратящая твое время… может это приучило бы вести более честную игру владельцам ресурсов сделав поиск более адаптивным


  1. SimplyKot
    10.06.2016 20:41
    +1

    Функция наверное работает. Вот только пользователи давно умеют пользоваться анонимайзерами.
    Кстати интересно, что там такого внутри стоит, что цена на DrayTek Vigor2925n plus получается такая же, как на старый добрый Mikrotik RB1100AHx2?


  1. Cr558
    10.06.2016 22:14

    Меня как-то попросили залочить соц. сети в одной конторе, а через некоторое время им понадобился доступ на авито дабы оно их не блочило за слишком частые просмотры с одного айпи. Ну понятное дело самым простым решением было поставить на все компы в браузеры расширение с vpn (browsec, если точно). Ну и как понимаете блоки аналогичные описаным в статье перестали работать. Крч методы основные исключительно на хостах слишком легко обходятся.


  1. lain8dono
    13.06.2016 13:15

    Надо делать скрипт, встроенный в браузер, который за юзера нажимает кнопочку «удалить страницу».


  1. donvictorio
    13.06.2016 13:19

    Единственный способ что-то заблочить в браузере (...) — это некий демон-агент, который пользователь не сможет выгрузить и который сканирует весь трафик на присутствие заранее заданных маячков.Что-то типа родительского контроля в KIS. Там ни VPN, ни прокси, ни туннели-мосты и собственный канал в инет не спасёт. Может кто из ведающих накидает примеров, а то я только концепцию улавливаю, но в любом случае такая штука должна существовать.


  1. IIgorT
    13.06.2016 13:28

    С наличим смарта и 3g, 4g вокруг эти блокировки сетей, ради блокировки сетей — архаизм.
    А вот то что это мешает работать не смышленым это да, но такой способ мало поможет. Тут по шее давать надо (ну или по карману)