Как заблокировать доступ к определенному сайту?
Способ 1. Самый простой способ — воспользоваться интернет-фильтром SkyDNS. У этого сервиса имеется бесплатный тариф FREE (включается по окончании пробного периода тарифа «Домашний»), при использовании которого можно заблокировать доступ к 20 сайтам, фильтровать более пятидесяти категорий сайтов, вести собственные списки исключений (размер ограничен десятью записями) и собирать статистику за один месяц работы. С помощью фильтра SkyDNS можно заблокировать доступ как для всех устройств домашней сети, так и для определенных.
Рассмотрим пример блокировки сайта youtube.com. Для этого внесём в черный список следующие сайты: googlevideo.com, www.youtube.com, youtube.com и ytimg.com.
Затем в веб-конфигураторе интернет-центра на странице «Интернет-фильтр» включите фильтр SkyDNS и установите профиль «Основной» для определенного устройства. В зависимости от задачи, фильтр SkyDNS также можно применить для всех зарегистрированных и незарегистрированных устройств.
После этой настройки рекомендуем перезагрузить интернет-центр и затем проверить доступ к блокируемому сайту.
В некоторых случаях, вы можете заблокировать доступ не только к одному сайту, но и к целой категории. Например, для блокировки Skype и других мессенджеров заблокируйте категорию «Чаты и мессенджеры».
Дополнительную информацию вы можете найти на сайте https://www.skydns.ru/guides/faq/
Способ 2. Способ блокировки средствами интернет-центра. У этого способа есть особенность — он позволит заблокировать доступ всем хостам в локальной сети к сайту, который вы укажите. Его нельзя применить для определенного хоста.
Настройка выполняется из интерфейса командной строки (CLI) интернет-центра.
Для блокировки сайта будем использовать команду ip host
Например, если нужно заблокировать доступ к youtube.com выполните команды:
В качестве IP-адреса нужно указать любой несуществующий (свободный, незадействованный) IP-адрес из диапазона частных «серых» адресов. Это может быть IP-адрес из другой подсети, отличной от сети интернет-центра.
В нашем примере при запросе к сайту youtube.com хосту будет отдан несуществующий адрес 10.10.10.5 и соответственно страница не откроется. В интернет-центрах Keenetic можно добавить до 64 статических привязок IP-адреса к доменному имени с помощью команды ip host.
Для удаления привязки используйте ту же команду, только добавляя префикс no в начале. Например:
NOTE: Важно! Созданные статические записи привязки IP-адресов к домену на интернет-центре с помощью команды ip host имеют больший приоритет перед интернет-фильтрами.
Способ 3. Способ блокировки сайта через правила межсетевого экрана интернет-центра Keenetic.
Подробное описание работы с Межсетевым экраном в интернет-центрах Keenetic представлено в статье «Межсетевой экран».
Различные примеры использования правил межсетевого экрана можно найти в статье «Примеры использования правил межсетевого экрана».
Например, заблокируем правилами межсетевого экрана доступ всем устройствам локальной сети к сайту социальной сети знакомств Love.Ru.
NOTE: Важно! В настройках правил межсетевого экрана интернет-центра Keenetic нельзя использовать доменные имена (нельзя указать символьное имя домена или сайта), а можно использовать только IP-адреса. В связи с чем, перед настройкой правил нужно выяснить IP-адрес(а) нужного вам веб-сайта. IP-адресов у веб-сайта может быть несколько, и в этом случае нужно блокировать доступ ко всем IP-адресам. К тому же веб-сайты могут работать не только на протоколе HTTP, но и на протоколе HTTPS. Рекомендуем блокировать трафик к сайту по обоим протоколам.
Первый способ узнать IP-адрес сайта — использовать в командной строке операционной системы специальную команду:
В нашем примере выполним команду nslookup love.ru
Результат выполнения указанной выше команды позволит увидеть IP-адреса, на которых размещается веб-сайт.
Второй способ узнать IP-адрес сайта — воспользоваться одним из специальных онлайн-сервисов (например, 2ip.ru). В специальной строке нужно будет указать имя интересующего вас сайта и нажать кнопку «Проверить». После этого вы увидите все IP-адреса, на которых работает сайт. Например:
Теперь, выяснив IP-адреса веб-сайта, можно приступать к созданию правил межсетевого экрана.
В нашем примере сайт использует 4 IP-адреса, создадим для интерфейса локальной сети «Домашняя сеть» 8 правил для блокировки трафика по протоколам: 4 для HTTP и 4 для HTTPS.
Создаем запрещающие правила, в котором указываем IP-адрес назначения (IP-адрес сайта, к которому будет запрещен доступ) и тип протокола (HTTP и HTTPS). Мы используем блокировку доступа к сайту для всех устройств локальной сети, но если вам нужно запретить доступ только для конкретного хоста, при создании правила укажите его IP-адрес в поле «IP-адрес источника».
После создания правил проверьте доступ к сайту.
Данный способ бывает не всегда удобен. Например, чтобы заблокировать Skype на сетевом уровне необходимо знать все используемые им IP-адреса. Найти их все и поддерживать список в актуальном состоянии — трудновыполнимая задача. Также многие сайты в целях повышения производительности используют несколько разных адресов для загрузки своих данных. Например, «ВКонтакте» использует адрес vk.com для загрузки страниц, а картинки и прочие элементы страницы грузятся с домена userapi.com.
Для блокировки таких сайтов рекомендуем использовать интернет-фильтр SkyDNS.
TIP: Примечание:
Если вы ранее заходили на сайты, относительно которых меняли настройки, то ответы DNS-серверов скорее всего, находятся в кэше браузера, клиента DNS на локальном компьютере или кэширующем DNS на роутере.
Для скорейшего вступления в действие изменения настроек может понадобиться перезапустить браузер. В большинстве случаев этого достаточно.
Если после перезапуска браузера изменений нет, выполните команду ipconfig /flushdns на локальном компьютере, которая очистит кэш DNS-клиента Windows.
В еще более редких случаях может понадобиться очистить кэш DNS на роутере (достаточно будет перезапустить роутер).
Пользователи, считающие этот материал полезным: 23 из 30
Настройка интернет-центра для блокировки доступа домашней сети к определенному веб-ресурсу (для версий NDMS 2.11 и более ранних)
NOTE: В данной статье показана настройка версий ОС NDMS 2.11 и более ранних. Настройка актуальной версии ПО представлена в статье «Как заблокировать доступ к определенному сайту?».
Необходимо отключить доступ для всей домашней сети на определенный веб-сайт. Как в интернет-центре настроить блокировку доступа для всей домашней сети к определенному веб-ресурсу?
В данной статье мы рассмотрим пример блокировки доступа устройств локальной сети к определенному веб-ресурсу (сайту) Интернета.
Подробное описание работы с Межсетевым экраном в интернет-центрах серии Keenetic представлено в статье: «Описание работы с межсетевым экраном»
Различные примеры использования правил Межсетевого экрана в интернет-центрах серии Keenetic можно найти в статье: «Использование правил Межсетевого экрана»
Один из простых способов заблокировать доступ к веб-сайту – воспользоваться сервисом SkyDNS (дополнительную информацию можно найти в статье: «Защита домашней сети и фильтрация контента с помощью сервиса SkyDNS»).
Итак, заблокируем доступ устройствам локальной сети к определенному веб-сайту средствами интернет-центра серии Keenetic (с микропрограммой NDMS V2).
В настройках межсетевого экрана при создании правил можно использовать только IP-адреса (нельзя указать символьное имя домена или сайта).
Обращаем ваше внимание, что IP-адресов у веб-сайта может быть несколько, и в этом случае нужно блокировать доступ ко всем IP-адресам.
Для того чтобы узнать IP-адрес какого-то веб-сайта, можно воспользоваться утилитой nslookup из состава операционной системы Windows. Зайдите в командную строку Windows (Пуск > Выполнить > cmd) и выполните команду nslookup xxx, где xxx — это имя веб-сайта.
Например:
C:\Users\007>nslookup odnoklassniki.ru
Non-authoritative answer:
Name: odnoklassniki.ru
Address: 217.20.147.94
Итак, зная IP-адрес веб-сайта, можно приступить к настройке интернет-центра.
Внимание! Правила межсетевого экрана, добавляемые в веб-интерфейсе устройства, действуют для входящих в Keenetic сетевых пакетов. Поэтому созданное в приведённом примере правило будет блокировать пакеты с IP-адресом назначения 217.20.147.94.
Правило с IP-адресом блокируемой сети в поле IP-адрес назначения нужно добавить на интерфейс домашний сети Home network.
В этом случае сетевой пакет, предназначенный блокируемой сети, будет отброшен на входе в LAN-интерфейс интернет-центра Keenetic.
Важно! Некоторые веб-сайты помимо доступа по протоколу http имеют доступ к их ресурсам по безопасному протоколу https (например, сайт Одноклассники доступен по http://ok.ru и https://ok.ru). Протокол https — это расширение протокола http, поддерживающее шифрование. Протокол https применяет криптографический протокол TLS (Transport Layer Security) или SSL (Secure Sockets Layer). Данные, передаваемые по протоколу https, «упаковываются» в протокол TLS или SSL, обеспечивая защиту данных. В силу особенностей реализации протокола https заблокировать доступ в интернет-центре только к определенным сайтам, использующим этот протокол, не получится. В межсетевом экране можно заблокировать только весь трафик https (но в этом случае доступ будет заблокирован ко всем сайтам https://****). Это можно сделать, запретив порт tcp/443, т.к. в отличие от http, для https по умолчанию используется TCP-порт 443.
Примечание
В дополнении к указанному выше примеру рассмотрим более частный случай — пример создания фильтра для ограничения доступа к сайту при условии резервирования связи. Это может быть удобно в случае высокой стоимости трафика в резервном канале, по причине более низкой пропускной способности, либо в силу иных обстоятельств.
При создании в веб-конфигураторе запрещающего правила межсетевого экрана для подключенного к провайдеру интерфейса с IP-адресом источника, равным IP-адресу сайта, оно не приведет к блокированию доступа к этому сайту.
Так происходит потому, что правила межсетевого экрана (Firewall) в интернет-центре обрабатываются не по-пакетно, а сессиями. Таким образом, созданное правило могло бы заблокировать передачу трафика от сайта к пользователю, но поскольку в большинстве сценариев пользователь обращается к ресурсу сайта первым, инициируя этим создание сессии, ответ от сайта будет проходить уже в рамках этой сессии. Правило входящего фильтра не сможет быть задействовано, и, следовательно, не приведет к блокированию доступа.
Ограничение привязки правил фильтрации к входящему трафику отсутствует при управлении устройством через интерфейс командной строки (CLI).
Пусть требуется заблокировать доступ к сайту с адресом 217.20.147.94 для хостов из Домашней сети, когда доступ в Интернет осуществляется через USB-модем на интерфейсе UsbModem0.
Для этого, в командной строке интернет-центра следует выполнить команды:
создание списка контроля доступа
(config)>access-list _WEBADMIN_UsbModem0
включение в созданный список правила фильтрации пакетов от хостов в Домашней сети 192.168.1.0/24 к адресу 217.20.147.94
(config-acl)>deny tcp 192.168.1.0 255.255.255.0 217.20.147.94 255.255.255.255
(config-acl)>exit
включение созданного списка на интерфейсе модема в исходящее направление
(config)>interface UsbModem0
(config-if)>ip access-group _WEBADMIN_UsbModem0 out
(config-if)>exit
(config)>system config-save
Информацию о командах по настройке правил Firewall можно найти в справочнике командного интерфейса (CLI) интернет-центра, который можно найти в разделе Центр поддержки, выбрав нужное устройство.
Пользователи, считающие этот материал полезным: 17 из 23