Решаем проблему блокировок. Защищаемся от попадания в реестр запрещенных сайтов
Заранее прошу прощения за ошибки (в личку).Я техник, пишу, как умею. Cтрелять в пианиста.
Преамбула
С наркотиками, педофилией и самоубийствами надо бороться, но не такими методами. За столь малый промежуток времени работы закона мы увидели, что в данный реестр может попасть абсолютно любой сайт, а заблокированным может оказаться даже тот, которого в реестре нет. Закон явно используется не против тех, на кого он был нацелен.
Мы поговорим о том, как мы можем применить наши навыки для борьбы с очевидным беззаконием. Я не буду повторяться про такие методы как VPN, tor, i2p, https анонимайзеры. Про них уже много сказано. Русскоязычные ресурсы не хотят терять посетителей — это их хлеб. И до тех пор, пока у каждого дома не будет VPN, администрация сайтов будет удалять не угодный правительству контент. Режь вдоль — говорит зомбоящик, а блокируют почему-то интернет.
Фабула
Типичные способы фильтрации запрещённых сайтов:
1. Блокировка по IP. Самый дешёвый способ.
1.1 На маршрутизаторе провайдера ip адрес с маской /32 (сеть состоящая из одного адреса) роутиться в null. При попытке зайти на любой сайт, находящийся на данном ip, вы получаете недоступность сайта по таймауту.
1.2 Отправка маршрутизатором провайдера сообщения «unreachable» в ответ на попытку открыть сайт по данному ip. В этом случае сообщение о недоступности сайта будет отображено вашем браузером без задержки.
1.3 Вместо роута в null провайдер может добавить запись в маршрутизатор с роутом на специальный сервер, который вместо контента сайта выведет сообщение о том, что ресурс заблокирован.
1.4 Блокировка по доменному имени. ДНС провайдера выдаёт при запросе заблокированного имени вместо ip адреса искомого сайта свой адрес сайта, на котором уже сообщает о блокировке.
2. Блокировка по URL
2.1. Это самый дорогой способ. Весь трафик проходит через DPI (анализатор пакетов, по простому — навороченный программно-аппаратный прокси-сервер). Крупные и средние провайдеры нередко используют их для нарезки ширины канала, приоретизации трафика, защиты от атак, спам контроля, родительского контроля и т.д т.п. В данном случае клиенту в ответ на запрашиваемый URL адрес выдаётся редирект на страницу, где сообщается о том, что данный конкретный URL заблокирован.
Напомню, что в списке на блокировку есть записи только с ip, блокировка происходит по ip.
На данный момент есть неоднозначность с трактовкой требований по блокировке. В том случае, если в записи на блокировку указан ip и URL, блокировать ли по жёсткому соответствию IP — URL, или при пропускании всего трафика у провайдера через DPI блокировать по URL (при блокировке только по URL смена ip адреса у заблокированного домена не поможет).
На текущий момент провайдеры, блокирующие с помощью DPI, используют жёсткую связку, и, если блокируемый сайт меняет ip, то он снова становится доступным, несмотря на блокировку по URL.
2.2. В данном случае всё как в пункте 1.3., только сервер или аппаратная железка редеректят на страницу блокировки только при запросе заблокированного URL, в противном случае просто блокируют трафик.
Обход блокировки по IP (на текущий момент решает и проблему блокировки по URL):
1. Смена ip.
2. Использование CDN, а также сервисов защищающих от DDoS. CDN, как и сервисы защиты от DDoS, (своего рода обратные прокси-сервера) выдают на запрос вашего сайта ip из своего пула. Как правило, при этом используется целый блок адресов для группы сайтов. Блокировка одного ip из пула приведёт к лишь частичной недоступности Вашего ресурса. К тому же не только вашего, но и остальных, находящихся в пуле. Кроме этого, CDN использует сервера в разных странах, а это означает, что пользователи не из России проблем испытывать не будут.
Если надзорные органы не одумаются, и не откажутся от блокировке по ip, то можно ждать развития рынка DDoS-услуг новыми опциямия. Например, «завалю все сайты на Bitrix-е использующие CDN, недорого».
Когда сайты из CDN начнут попадать в реестр, все провайдеры будут вынуждены перейти на блокировку по URL.
3. Это должны сделать все. Создаем на сайте ссылку, которая не будет доступна в индексе сайта (кроме вас и тех, кому вы её передадите, никто не должен на неё попасть, даже робот). Контент на ней должен быть не запрещённым, можно вообще сделать её пустой страницей. Отправляем ссылку на www.zapret-info.gov.ru, затем смотрим лог и получаем профит в виде ip адреса. Cмотрим подсети провайдера, блокируем на фаэрволе (сетью можно поделится, чтобы всем не делать ненужную работу).
4. Уменьшаем зло от блокировки. Привожу общие сведения для линукса (пошаговой документации не даю, google или средний админ в помощь). Вместо одного ip для вашего сайта покупаете столько, сколько сможете. Вешаете их на алиасы интерфейса сетевой карты. Поднимаете и настраиваете ДНС сервер (речь, как вы понимаете, идёт не про шаред хостинга, а хотя бы VPS). Используя ip route и ip rules настраиваете, чтобы при запросе на один из ваших адресов ответ уходил с него же. ДНС сервер повесьте на отдельный ip, чтобы при блокировке по ip он был доступен.
acl «operators_pool1» { 100.0.0.0/8;
131.100.0.0./16;
};
acl «operators_pool2» { 101.0.0.0/8;
132.100.0.0./16;
};
view «view_operators_pool1» {
match-clients { operators_pool1; };
zone «youdomain.com»{
type master;
notify yes;
file «master/ru/operators_pool1_youdomain.com»;
};
};
view «view_operators_pool2» {
zone «youdomain.com»{
type master;
notify yes;
file «master/ru/operators_pool2_youdomain.com»;
};
};
Создаёте файлы зон, где в разных файлах будут разные ip Вашего домена. Таким образом, при попадании ip в реестр, будет заблокирован доступ лишь от части операторов, среди которых будет тот, на котором сидит служащий, отправивший Ваш домен на блокировку. Дальше можно будет сменить этот ип, а для большинства пользователь недоступность останется незамеченной.
А когда наконец-то будет внедрён ipv6, можно будет вешать по одному ip на каждого российского оператора.
Качаем
ftp.ripe.net/ripe/dbase/split/ripe.db.aut-num.gz
ftp.ripe.net/ripe/dbase/split/ripe.db.inetnum.gz
Парсим файл inetnum, берём из него подсети «inetnum». Там, где «country» RU. Cобираем их в пулы по «mnt-by», берём для наглядности из aut-num на основании наших «mnt-by» «descr».
Обход блокировки по URL:
1. Не уверен в его работоспособности, и точно уверен, что поможет ненадолго. Используем SPDY (http://habrahabr.ru/post/145918/). Если я не ошибаюсь, DPI на данный момент не умеют его разбирать. Соответственно, блокировать по URL у провайдеров не получится (ещё раз уточню, что я могу ошибаться, жду опровержение в комментариях). К тому же SPDY подразумевает возможность использовать SSL.
2. Использование https. В данном случае лучше использовать не само-подписанный сертификат, чтобы пользователь видел, что его провайдер подслушивает его. Недостаток способа в увеличении нагрузки на сервер, поскольку трафик шифруется.
Крупные провайдеры используют готовые решения, и не будут городить «линукс-анализаторы https с подменой сертификатов». А мелкие не двинутся, пока крупные не сделают свой шаг. Поэтому, до появления готовых железок с разбором https провайдеры смогут блокировать только по ip.
3. Способ лучше, чем использование https, даст 100%-ю защиту от блокировки по URL (но тоже имеет свои сложности в реализации и увеличивает нагрузку). Я думаю, все слышали о реферальных ссылках. Они предназначены для определения по ссылке с какого реферала пользователь зашёл на сайт.
Методика заключается в использовании данной технологии с небольшими изменениями.
Берём ссылку rutracker.org/forum/viewforum.php?f=1379 и превращаем её в
rutracker.org/forum/viewforum.php?f=1379&ip=XXX.XXX.XXX.XXX, где XXX.XXX.XXX.XXX — ip пользователя, зашедшего на сайт (за исключением случаев, когда пользователь зашёл по ссылке, полученной от другого пользователя. В этом случае ip того пользователя необходимо сохранить).
Для сайтов с авторизацией можно ещё добавить имя пользователя, для дальнейшей идентификации.
Поэтому следующую часть 1379&ip=XXX.XXX.XXX.XXX необходимо зашифровать на сервере (алгоритм выбираете сами, речь идет о шифрации, а не о хешировании, тоесть процесс обратимый)
В результате ссылки превратятся во что-нибудь вида
rutracker.org/forum/viewforum.php?f=MTM3OSZpcD1YWFguWFhYLlhYWC5YWFgK и для каждого ip будут уникальны. На сервере вы их расшифруете, и выдадите нужный контент, а заодно узнаете, от кого пришла ссылка (если добавлять имя авторизованных пользователей, можно узнавать, кто из них вас сдал).
Теперь все ссылки на нашем сайте уникальны для каждого пользователя и/или ip (если добавили имя авторизованного пользователя). Соответственно, при попадании в реестр, ссылка будет заблокирована для конкретного ip и/или пользователя, а также мы сможем по логам узнать ip всех, кто проверял данную ссылку, и добавить их в чёрный список на фаэрволе.
Например, kremlin.ru/news превращаем в kremlin.ru/ХХХ.ХХХ.ХХХ.ХХХ/news и применяем шифрацию kremlin.ru/0KXQpdClLtCl0KXQpS7QpdCl0KUu0KXQpdClL25ld3MK. После реврайтов она все равно будет передана на какой-нибудь index.php, где мы её и расшифруем.
Для поисковиков ссылки надо отдавать в обычном виде, все равно их соответствие с зашифрованными будет сложно (хотя не очень) определить (если они не слышали про ipv6 и кеш гугла то уж точно). В крайнем случае потеряете переход на данную страницу их поисковика.
Ответный удар:
Ресурсы маршрутизаторов и DPI не бесконечны и крайне дороги (к примеру, cisco SCE имеет ограничение в 100K правил для блокировки).
Поможем операторам заполнить их таблички, и, возможно, тогда они начнут лоббировать интересы своих пользователей.
1. Ищем в поисковике к примеру: «цифровые наркотики» (только википедию не блочьте, пожалуйста), «ширево», «наркота», «спайс», «Spice», «спиды», «легальные наркотики», «Курительные смеси», «курительные миксы», «легальные порошки», «новый спай», «гашиш круглосуточно», «гашик», «JWH» и т.д. и т.п.
Используем закон во благо (хотя это не к чему не приведёт, в свете лёгкого обхода блокировок). Бороться с розничной наркотой надо контрольными закупками и отслеживанием закладок. Камер-то везде понатыкали, чего сложного-то. Вот где надо казакам да разным хоругвеносцам себя проявлять. Cделали контрольную закупку — отвели в одел курьера. Даже если формула ещё не в реестре, так быстрее там появится.
2. Размещаем шуточные статьи (можно взять то, что было заблокировано на абсурдотерапии, материал проверенный) про что угодно, из запрещённого. К примеру, на сайтах онлайн-магазинов в отзывах о товарах (если не модерируется), на форумах поддержки производителей различных товаров. На большинстве из них администрация очень редко заглядывает. Не забываем, что интернет — штука глобальная и многоязычная, так что китайцев с арабами не забываем. Они нас не поймут, и текст вряд ли удалят (а в реестре ссылка, а можно и сотню ссылок на один сайт. Чем больше урлов — тем лучше). К тому же, иностранные сайты даже пытаться не будут удалятся из нашего реестра, и наш реестр превратится в среднестатистического американца.
3. Если помните, «Невинность мусульман» была на английском языке. Значит, надо проверять их лингвистические познания. Что делать — я думаю, понятно.
4. Они создали реестр запрещённых сайтов. Нам надо создать реестр блоков ip адресов госорганов и блокировать их на всех популярных ресурсах. Посмотрим, как они без «вконтактика» в думе (хотя Дуров как-то помалкивает).
Как заблокировать доступ к определенному IP
Иногда требуется заблокировать по каким-то причинам доступ к определенному IP-адресу, при этом, большинство пользователей ищет какой-нибудь другой способ, не обращая внимания на установленный у них антивирус с входящим в его состав персональным файерволом.
Так как у меня установлен ESET Smart Security буду писать в данной статье о нем, потом возможно появятся статьи и для других антивирусов.
Для настройки файервола, нам нужно открыть сам ESET Smart Security, после чего во вкладке “Настройка” включить расширенный режим.
Когда вы включите расширенные режим, у вас появятся дополнительные настройки, доступ к логам и служебным программам антивируса. Далее в той же вкладке находим и нажимаем ссылку “Персональный файервол”, после чего в самом низу нужно перейти еще по одной ссылке “Дополнительные настройки персонального файервола”, нажимаем на нее и попадаем в панель настройки.
После того как вы вошли в панель настройки антивируса так как написано ранее, вы должны находиться сразу там где нам и нужно, а именно в “Персональный файервол”, но если это не так находим и выбираем пункт «Персональный файервол», после чего режим фильтрации устанавливаем на “Автоматический режим с исключениями”.
После установки режима фильтрации, переходим в «Правила и зоны» вкладка всё также находится в группе «Персональный файервол». Затем в «Редактор зон и правил» нажимаем на кнопку “Настройка”.
Итак, мы почти уже подошли к тому, чтобы мы имели возможность фаерволом заблокировать ненужный IP-адрес. В открывшемся окне во вкладке правила нажимаем на кнопку “Создать”, там всего три кнопки, поэтому этап нажатия кнопки будет без картинки.
В окне «Новое правило» во вкладке “Общие” производим некоторые настройки. В поле “Имя” вводим название правила (может быть любым). Направление выбираем из списка “Любое”. Действие выбираем из списка “Запретить”. Если протокол стоит не “TCP & UDP”, хотя по умолчанию должен быть именно он, нажимаем “выбрать протокол” и в открывшемся окошке выбираем TCP.
Затем переходим на вкладку “Удаленный” где уже и добавим IP-адреса, которые мы и хотим заблокировать. Нажимаем на кнопку «Добавить адрес IPv4».
Далее мы указываем тип “Отдельный адрес”, в поле адрес вписываем IP-адрес, который мы блокируем и нажимаем ОК (Если нужно добавить несколько адресов, делается все точно также).
Возвращаемся в окно «Новое правило» где на вкладке «Удаленный» можно еще раз убедиться, что блокируемый IP-адрес вписан правильно, после чего снова нажимаем кнопку «ОК». Чтобы сохранить измененные настройки файервола снова жмем кнопку «ОК» в окне «Настройка зон и правил».
В результате выполненных действий при помощи ESET Smart Security Вы заблокировали заданные IP-адреса.
Как в WordPress блокировать по IP доступ в админ-панель?
Как известно, WordPress является самым популярным “движком” для быстрого создания сайтов. В этой популярности есть один существенный минус – повышенное внимание хакеров. Вследствие этого каждый владелец WordPress-сайта должен постоянно следить за безопасностью своего ресурса и быть всегда в курсе всех методов его защиты.
Что такое блокировка по IP?
Одним из таких методов является ограничение доступа по IP в админ-панель сайта.
Как Вы знаете, любая точка доступа в Интернете (компьютер, смартфон, роутер и т.д.) имеет свой IP-адрес, видный всем остальным. Это означает, что если Вы сумели зайти в Интернет, то значит Вам был присвоен этот самый IP-адрес. Если Вы зашли на какой-либо сайт, то сделали это под каким-то IP, который может быть определен и сохранен.
Статический или динамический IP-адрес?
IP-адрес состоит из 4-х чисел, разделенных между собой точкой. Например, 12.250.98.250. Участник Сети может иметь как свой персональный (уникальный или статический) IP-адрес, так и разделять еще с кем-то (непостоянный или динамический). Важно знать, какой у Вас адрес: статический или динамический. Чтобы это определить, необходимо воспользоваться бесплатным онлайн-сервисом, который точно укажет Вам эти 4 числа (например, 2ip.ru). Если после нескольких проверок Вам выдается один и тот же адрес, значит он статический.
Блокируем доступ в админ-панель
Наша зада – настроить сайт так, чтобы к его администраторской панели мог получить доступ пользователь с конкретным IP-адресом, что повысит сложность получения полного контроля над сайтом сторонними людьми. Для этого мы будем использовать .htaccess – специальный файл, управляющий поведением веб-сервера, который находится в корневом каталоге Вашего сайта. О том, как получить доступ к файлам сайта и как редактировать этот файл, было описано в одном из наших прошлых материалов.
Для статического IP-адреса
Если у Вас имеется статический IP-адрес, то, чтобы только Вы смогли получить доступ к админ-панели сайта, в самое начало .htaccess необходимо добавить следующие строки:
order deny,allow allow from 12.250.98.250 deny from all
Во второй строке, вместо присутствующих там чисел, нужно заменить на числа Вашего IP-адреса. Если необходимо добавить несколько адресов, то вторую строчку можно продублировать (указав другой адрес) и разместить под ней.
Для динамического IP-адреса
В зависимости от того, какие числа в вашем IP-адресе постоянно изменяются, запись в .htaccess примет следующий вид:
order deny,allow allow from 12.250. deny from all
Как видно, мы указали только первые два числа. Это означает, что они являются неизменными, а меняются лишь последние два.
Универсальный метод
Также стоит рассмотреть еще один вариант блокировки по IP – бесплатный плагин WP-Ban. Дополнение является более универсальным решением, позволяя администратору сайта без каких-либо правок файла .htaccess заблокировать конкретный IP-адрес (статический или динамический) или целый диапазон, наглядно показывая статистику заблокированных адресов.
Итак, после установки и активации плагина, в админ-панели необходимо перейти в раздел Настройки -> Ban.
Страница настроек плагина разделена на несколько блоков, отвечающих за ту или иную возможность для блокировки IP. Рассмотрим каждую из них.
Блок Banned IPs позволит заблокировать посетителя сайта по его IP-адресу. Согласно примеру, возможен ввод как статического адреса, так и динамического.
В разделе Banned IP Range можно указать целый диапазон адресов, которые будут блокироваться.
В блоке Banned Host Names можно заблокировать по имени хоста.
Banned Referers отвечает за блокировку по адресу сайта, с которого перешли.
Banned User Agents – блокировка по клиентскому приложению User Agent.
В разделе Banned Exclude IPs возможно заблокировать всех, исключая введенных.
В блоке Banned Message указывается сообщение, которое увидит заблокированный посетитель при попытке войти на сайт.
Раздел Ban Stats выведет на экран число попыток входа на сайт каждого заблокированного IP-адреса.
Чтобы настройки вступили в силу, необходимо нажать кнопку Save Changes.
Если Вам понравилась статья — поделитесь с друзьями
Как заблокировать доступ к сайту в Windows с помощью PowerShell
Рассмотрим несколько способов, которые помогут вам запретить доступ к отдельным сайтам, URL и IP адресам в Windows без использования сторонних программ. Обычно блокировку сайтов наиболее эффективно настраивать на уровне сетевого шлюза (роутер, маршрутизатор, Wi-Fi точка доступа, через которую вы выходите в Интернет), или с помощью стороннего ПО (фильтры контента, DNS фильтры и т.д.). В нашем случае мы попробуем заблокировать определенный сайт с помощью встроенных средств Windows 10 и автоматизации PowerShell.
Блокировка сайтов в Windows с помощью файла hosts
Самый известный способ заблокировать определенный сайт в Windows – отредактировать файл hosts. Обычно файл находится в каталоге %windir%\system32\drivers\etc\. Обратите внимание, что у файла hosts нет расширения.
Путь к каталогу с файлом hosts задается в параметре DataBasePath в ветке реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters. По-умолчанию это %SystemRoot%\System32\drivers\etc.
Файл hosts используется для ручного назначения соответствий между IP адресами и DNS именами. При выполнении разрешении имен файл hosts имеет приоритет над DNS серверами, указанными в настройках сетевых подключений,
Чтобы заблокировать определенный сайт (например, ok.ru), откройте на редактирование файл hosts (с правами администратора) и добавьте в него строки вида:
127.0.0.1 ok.ru
127.0.0.1 www.ok.ru
Сохраните файл и перезагрузите компьютер (или очистите DNS кэш командой: ipconfig /flushdns).
После этого при попытке открыть сайт ok.ru в любом браузере будет появляется сообщение “Страница не найдена” / “Страница не доступна”.
Вы можете добавлять новые строки с URL сайтов в файл hosts с помощью такого bat файла:
@echo off
set hostspath=%windir%\System32\drivers\etc\hosts
echo 127.0.0.1 www.facebook.com >> %hostspath%
echo 127.0.0.1 facebook.com >> %hostspath%
exit
Либо можно воспользоваться следующими PowerShell функциями для автоматизации блокировки (разблокировки) определенных сайтов в списке запрещенных доменов в файле hosts.
Function BlockSiteHosts ( [Parameter(Mandatory=$true)]$Url) {
$hosts = 'C:\Windows\System32\drivers\etc\hosts'
$is_blocked = Get-Content -Path $hosts |
Select-String -Pattern ([regex]::Escape($Url))
If(-not $is_blocked) {
$hoststr="127.0.0.1 ” + $Url
Add-Content -Path $hosts -Value $hoststr
}
}
Function UnBlockSiteHosts ( [Parameter(Mandatory=$true)]$Url) {
$hosts = 'C:\Windows\System32\drivers\etc\hosts'
$is_blocked = Get-Content -Path $hosts |
Select-String -Pattern ([regex]::Escape($Url))
If($is_blocked) {
$newhosts = Get-Content -Path $hosts |
Where-Object {
$_ -notmatch ([regex]::Escape($Url))
}
Set-Content -Path $hosts -Value $newhosts
}
}
Теперь чтобы добавить определенный сайт в заблокированные достаточно выполнить функцию:
BlockSiteHosts ("vk.com")
Чтобы разблокировать сайт запустите:
UnBlockSiteHosts ("vk.com")
Блокировка сайтов через DNS
Если ваши клиенты пользуются одним DNS сервером, вы можете аналогичным образом заблокировать определенный сайты с помощью создания DNS записи в этом DNS, указывающей на 127.0.0.1 (или что-то в таком роде). По такому принципу, кстати, работают большинство коммерческих контент фильтров DNS (OpenDNS, SkyDNS, Яндекс.DNS и т.д.).
Блокируем IP адрес сайта в брандмауэре Windows
Также вы можете заблокировать определенные сайты с помощью встроенного Windows Firewall. Главный недостаток такого метода – вы не сможете использовать имя домена или сайта в правиле блокировке. Брандмауэр Windows в качестве источника/назначения позволяет указать только IP адрес или подсеть.
Сначала нужно определить IP адрес сайта, который вы хотите заблокировать. Проше всего это сделать командой nslookup.
nslookup ok.ru
Как вы видите в результатах команды присутствует несколько IP адресов, которые назначены сайту. Вам нужно заблокировать их все.
Теперь нужно запустить панель настройки Windows Firewall (Панель управления \Все элементы панели управления\Брандмауэр Защитника Windows\Дополнительные параметры или firewall.cpl).
В секции “Правила для исходящих подключений” создайте новое правило со следующими параметрами: 
- Тип правила: Настраиваемые;
- Программа: Все программы;
- Тип протокола: Любой;
- Область: в секции “Укажите удаленные IP адреса, к которым применяется данное правило” выберите пункт “Указанные IP адреса” -> Добавить. В открывшемся окне укажите IP адреса, IP подсети или диапазон IP адресов сайтов, которые нужно заблокировать.
Нажмите OK-> Далее -> Действие: “Блокировать подключение”.
В окне со списком профилей брандмауэра, к которым применяется это правило оставьте все опции. Осталось указать имя правила и сохранить его.
После этого Брандмауэр Защитника Windows будет блокировать все соединения с данным сайтом. В браузере при подключении к заблокированному сайту будет появляться ошибка:
Unable to connect
или
Доступ в Интернет закрыт
Возможно, подключение заблокирована брандмауэром или антивирусным ПО.
ERR_NETWORK_ACCESS_DENIED
В домене AD вы можете распространить на компьютеры пользователей политику блокирующую сайт с помощью GPO. Но еще раз скажем, это нецелесообразно. Фильтровать сайты правильнее на шлюзе доступа в Интернет.
PowerShell: правила блокировки сайтов по имени и IP адресу в брандмауэре Windows
Вы также можете с помощью PowerShell создать правило брандмауэра, блокирующее исходящие подключения к определенному сайту:
New-NetFirewallRule -DisplayName "Block Site" -Direction Outbound –LocalPort Any -Protocol Any -Action Block -RemoteAddress 217.20.147.1, 217.20.141.0/26
Строка “ The rule was parsed successfully from the store” говорит о том, что правило новое правило брандмауэра успешно применено. Вы можете найти его в графическом интерфейсе Windows Firewall.
Чтобы не резолвить имя сайта в IP адреса вручную можно использовать PowerShell командлет Resolve-DnsName для получения IP адресов сайтов.
Resolve-DnsName "ok.ru"| Select-Object -ExpandProperty IPAddress
Таким образом мы можем преобразовать имя домена в IP адреса и сразу добавить запрещающее правило для блокирования доступа к сайту:
$IPAddress = Resolve-DnsName "ok.ru"| Select-Object -ExpandProperty IPAddressNew-NetFirewallRule -DisplayName "Block Site" -Direction Outbound –LocalPort Any -Protocol Any -Action Block -RemoteAddress $IPAddress
Получается, что теперь вы можете добавить запрещающее правило в Windows Firewall сразу для нескольких сайтов:
$SitesToBlock = “lenta.ru”,”mail.ru”,”facebook.com”
$IPAddress = $SitesToBlock | Resolve-DnsName -NoHostsFile | Select-Object -ExpandProperty IPAddress
New-NetFirewallRule -DisplayName "Block Web Sites" -Direction Outbound –LocalPort Any -Protocol Any -Action Block -RemoteAddress $IPAddress
У командлета Resolve-DnsName я добавил параметр –NoHostsFile, чтобы не использовать при проверке файл hosts.
Проверим, что блокирующее правило для исходящего появилось в консоли.
Эта статья прежде всего разминка для ума. В корпоративной сети для ограничения доступа к сайтам нужно использовать фильтрацию на уровне шлюза доступа в интернет или прокси-сервере. Блокировка доступа на уровне хостов не столь эффективна.
Закрываем доступ к сайту определённым IP адресам
На протяжении последних нескольких месяцев в источниках посетителей наблюдаю сервис http://checks.panopta.com. По заявлению создателей — это сервис, который постоянно пингует сайт, проверяя на доступность. По совету xandeadx, я решил закрыть этому сервису доступ к своему сайту. Делается это в два этапа:
Узнаём IP адрес сайта
Банить надо по айпишнику, поэтому для начала его надо узнать 🙂 Можно пользоваться разными whois-серсисами, однако мне проще открыть консоль пингануть сайт:
Ответ я получу с ip адреса сайта.
Теперь копируем ip адрес и переходим к следующему этапу.
Добавляем IP в список запрещённых
В корне Друпала лежит файл .htaccess. По умолчанию доступ к сайту есть у всех. Но в данной ситуации надо у одного ip адреса этот доступ забрать. Поэтому дописываем в начало файла:
Order allow,deny allow from all deny from 66.228.52.108
Теперь всех запросы, которые будут идти с ip 66.228.52.108 апач будет посылать лесом, а я буду спать спокойно.
Дополнение
В Drupal 7 в settings.php появилась возможность добавлять список айпишников для бана. За это отвечает переменная $conf[‘blocked_ips’].
$conf['blocked_ips'] = array( '66.228.52.108', );
Принцип работы следующий: каждый раз при загрузке страницы Друпал вытягивает из таблицы {blocked_ips} список блокированных ip адресов. Для таких адресов загрузка тем, модулей и т.д. производиться не будет. Кстати, если можно указать такую конфигурацию блокированных адресов:
$conf['blocked_ips'] = array();
В этом случае блокировка пользователей по ip адресам будет отключена.
Однако на высоконагруженных проектах лучше избегать даже этого проверяющего запроса перед загрузкой сайта. Поэтому я всё же рекомендую пользоваться первым вариантом — блокировать пользователей не поднимая php и mysql.
Как заблокировать сайт на компьютере с Windows или macOS
Все перечисленные ниже способы блокируют доступ к выбранным вами сайтам через любые браузеры. Подкованный пользователь компьютера сможет обойти такую блокировку. Но для борьбы с прокрастинацией и контроля над детьми этих мер должно хватить.
Как заблокировать сайт на уровне роутера
В настройках многих маршрутизаторов можно управлять чёрным списком сайтов. Доступ к добавленным в него URL блокируется для всех устройств, подключённых к роутеру по сети Wi-Fi. Чтобы разблокировать любой сайт, достаточно удалить его адрес из списка.
Проверьте, предоставляет ли ваш маршрутизатор возможность блокировки. Для этого зайдите в его настройки: наберите в браузере 192.168.0.1 или другой адрес, указанный на нижней стороне роутера, и введите логин и пароль для входа. Затем поищите раздел «Фильтр», или «Управление доступом», или другое близкое по смыслу название.
Если найдёте меню с настройками чёрного списка, откройте его и добавьте адреса нежелательных сайтов. Вокруг должны быть подсказки, которые помогут вам разобраться.
Это самый быстрый способ ограничить доступ к интернет-ресурсам сразу для всей Wi-Fi-техники в помещении. Но если вы хотите заблокировать сайт только для выбранных устройств или даже отдельных пользователей, взгляните на следующие варианты.
Как заблокировать сайт в Windows
1. С помощью hosts-файла
На каждом компьютере под управлением Windows есть текстовый файл с именем hosts. Если добавить в него любые URL, браузеры не смогут открывать соответствующие сайты.
Чтобы отредактировать упомянутый файл, сначала откройте программу «Блокнот»: кликните по её ярлыку правой кнопкой мыши и выберите «Запуск от имени администратора». В окне блокнота нажмите «Файл» → «Открыть», переключите режим отображения с «Текстовые документы» на «Все файлы» и выберите файл hosts, находящийся по адресу C:\Windows\System32\drivers\etc.
Когда откроется hosts-файл, опуститесь вниз текста и добавьте один или несколько адресов сайтов, которые хотите заблокировать, в таком формате: 127.0.0.1 URL. После цифр обязательно ставьте пробел, вместо URL вводите адрес сайта без части https://. Если добавляете несколько записей, каждую вводите с новой строки. Пример:
После добавления адресов сохраните файл и перезагрузите компьютер, чтобы применить изменения.
Если пожелаете разблокировать сайты, снова откройте hosts-файл и удалите сделанные записи.
2. Через специальное ПО
Если вы хотите заблокировать отвлекающие сайты, чтобы не прокрастинировать, обратите внимание на бесплатную утилиту Cold Turkey. Вы можете добавить в неё несколько URL и назначить время, на какое они будут недоступны на вашем компьютере. Пока этот срок не истечёт, вы не сможете отменить блокировку.
У Cold Turkey есть также платная версия, которая позволяет блокировать не только сайты, но и отвлекающие приложения.
Cold Turkey →
3. С помощью функций родительского контроля
Этот способ лучше всего подходит для родителей, которые хотят защитить детей от порнографии и другого контента для взрослых. С помощью функций родительского контроля Windows вы можете создать список сайтов, которые будут заблокированы, и включить автоматическую блокировку всех сайтов для взрослых. Все ограничения будут действовать только для детского профиля и не затронут вашу учётную запись.
Рассмотрим блокировку сайтов для детского профиля на примере Windows 10. В предыдущих версиях ОС процедура может отличаться, но общий порядок будет похожим.
Перейдите в раздел «Пуск» → «Параметры» → «Учётные записи» → «Ваши данные» и убедитесь, что вы вошли в систему через учётную запись Microsoft: на экране должен отображаться ваш email. Если нет, зарегистрируйте свою учётную запись.
Далее, выберите на боковой панели «Семья и другие люди» и нажмите «Добавить члена семьи». В следующем окне добавьте учётную запись ребёнка с помощью подсказок системы. В процессе вам надо будет подключить к ней любой почтовый ящик, открыть его и подтвердить регистрацию нового профиля.
Затем вернитесь в меню «Семья и другие люди» и кликните «Управление семейными настройками через интернет».
В отличие от старых версий ОС, где все параметры профилей находятся в одном разделе, дальнейшая настройка Windows 10 происходит на сайте Microsoft. Когда откроется сайт, авторизуйтесь через свою учётную запись и откройте раздел «Семья». Увидев профиль ребёнка, кликните рядом с ним на «Ограничение на содержимое».
Прокрутите страницу вниз до раздела «Просмотр веб-страниц». Здесь вы можете включить автоматическую блокировку сайтов с помощью переключателя «Блокировать недопустимые веб-сайты» и занести вручную избранные сайты в список «Всегда запрещать».
Эти ограничения будут действовать только для браузеров Microsoft Edge и Internet Explorer. Остальные браузеры в детском профиле будут полностью заблокированы.
Как заблокировать сайт в macOS
1. С помощью hosts-файла
macOS, как и Windows, блокирует адреса сайтов, внесённые пользователем в системный hosts-файл. Вам нужно лишь открыть этот файл и добавить нежелательные URL. Браузеры не будут их открывать до тех пор, пока вы не удалите эти адреса из hosts-файла.
Для начала откройте упомянутый файл. Для этого запустите утилиту «Терминал» (Finder → «Программы» → «Утилиты» → «Терминал»), введите команду sudo /bin/cp /etc/hosts /etc/hosts-original и нажмите Enter. Когда появится запрос пароля от вашей учётной записи, введите его и снова нажмите Enter. Затем введите команду sudo nano /etc/hosts и опять нажмите Enter. Если потребуется, снова введите пароль.
Когда откроется hosts-файл, опуститесь вниз текста и добавьте один или несколько адресов сайтов, которые хотите заблокировать, в таком формате: 127.0.0.1 URL. После цифр обязательно ставьте пробел, вместо URL вводите адрес сайта без части https://. Если добавляете несколько записей, каждую вводите с новой строки. Пример:
Добавив все необходимые адреса, нажмите Control + X, чтобы выйти из hosts-файла. Перезапустите компьютер, чтобы изменения вступили в силу.
Если пожелаете разблокировать сайты, снова откройте hosts-файл и удалите сделанные записи.
2. Через специальное ПО
Бесплатная и очень простая утилита SelfControl позволяет блокировать любые сайты на указанное вами время. Пока оно не истечёт, вы не сможете открывать их в браузере, даже если удалите программу или перезагрузите Mac. Отличный способ для борьбы с отвлекающими ресурсами Сети.
Кроме того, вышеупомянутая Cold Turkey, которая работает похожим образом, тоже есть в версии для macOS.
SelfControl →
3. С помощью функций родительского контроля
Механизм родительского контроля в macOS позволяет ограничить доступ к выбранным сайтам только для одного пользователя компьютера. Например, вашего ребёнка. Другие пользователи смогут заходить на все сайты без ограничений.
Чтобы настроить блокировку, откройте меню Apple и перейдите в раздел «Системные настройки» → «Родительский контроль». Добавьте новую учётную запись для вашего чада.
После щёлкните по добавленному профилю и перейдите на вкладку «Веб». Здесь вы можете выбирать, какие сайты будут доступны ребёнку под его учётной записью, а какие — нет.
Читайте также
Как заблокировать сайт | remontka.pro
  windows | безопасность | для начинающих | интернет
Вполне возможно, что у вас, как у ответственного родителя (а может и по другим причинам) возникла необходимость заблокировать сайт или сразу несколько сайтов от просмотра в браузере на домашнем компьютере или на других устройствах.
В этом руководстве будут рассмотрены несколько способов осуществить такую блокировку, при этом некоторые из них менее эффективны и позволяют заблокировать доступ к сайтам только на одном конкретном компьютере или ноутбуке, еще одна из описываемых возможностей предоставляет куда больше возможностей: к примеру, вы можете заблокировать определенные сайты для всех устройств, подключенных к вашему Wi-Fi роутеру, будь то телефон, планшет или что-то еще. Описываемые способы позволяют сделать так, чтобы выбранные сайты не открывались в Windows 10, 8 и Windows 7.
Примечание: один из самых простых способов блокировки сайтов, требующий, правда, создание отдельной учетной записи на компьютере (для контролируемого пользователя) — встроенные функции родительского контроля. Они не только позволяют заблокировать сайты так, чтобы они не открывались, но и запуск программ, а также ограничить время использования компьютера. Подробнее: Родительский контроль Windows 10, Родительский контроль Windows 8
Простая блокировка сайта во всех браузерах путем правки файла hosts
Когда у вас заблокированы и не открываются Одноклассники или В контакте, скорее всего дело в вирусе, вносящем изменения в системный файл hosts. Мы же можем вручную внести изменения в этот файл, чтобы запретить открытие определенных сайтов. Вот как это можно сделать.
- Запустите программу блокнот от имени администратора. В Windows 10 это можно сделать через поиск (в поиске на панели задач) блокнота и последующий правый клик по нему. В Windows 7 найдите его в меню пуск, кликните по нему правой кнопкой мыши и выберите пункт «Запустить от имени администратора». В Windows 8 на начальном экране начните набирать слово «Блокнот» (просто так начните набор, ни в какое поле, оно появится само). Когда вы увидите список, в котором будет найдена нужная программа, кликните по ней правой кнопкой мыши и выберите пункт «Запуск от имени администратора».
- В блокноте, в меню выберите Файл — Открыть, пройдите в папку C:\Windows\System32\drivers\etc, поставьте отображение всех файлов в блокноте и откройте файл hosts (тот, который без расширения).
- Содержимое файла будет выглядеть примерно так, как показано на изображении ниже.
- Добавьте строки для сайтов, которые нужно заблокировать с указанием адреса 127.0.0.1 и обычного буквенного адреса сайта без http. В этом случае, после сохранения файла hosts, данный сайт открываться не будет. Вместо 127.0.0.1 можно использовать известные вам IP адреса других сайтов (между адресом IP и буквенным URL должен быть минимум один пробел). См. картинку с пояснениями и примерами. Обновление 2016: лучше создать две строки для каждого сайта — с www и без.
- Сохраните файл и перезагрузите компьютер.
Таким образом, у вас получилось заблокировать доступ к определенным сайтам. Но у этого метода есть и некоторые минусы: во-первых, человек, который хотя бы однажды сталкивался с подобной блокировкой, первым делом начнет проверять файл hosts, даже у меня на сайте есть несколько инструкций, как решить эту проблему. Во-вторых, этот способ работает только для компьютеров с Windows (на самом деле, аналог hosts есть в Mac OS X и Linux, но я не стану касаться этого в рамках данной инструкции). Более подробно: Файл hosts в Windows 10 (подойдет и для предыдущих версий ОС).
Как заблокировать сайт в брандмауэре Windows
Встроенный фаервол «Брандмауэр Windows» в Windows 10, 8 и Windows 7 также позволяет заблокировать отдельные сайты, правда делает это по IP-адресу (который может меняться для сайта со временем).
Процесс блокировки будет выглядеть следующим образом:
- Откройте командную строку и введите ping адрес_сайта после чего нажмите Enter. Запишите IP-адрес, с которым ведется обмен пакетами.
- Запустите брандмауэр Windows в режиме повышенной безопасности (можно использовать поиск Windows 10 и 8 для запуска, а в 7-ке — Панель управления — Брандмауэр Windows — Дополнительные параметры).
- Выберите пункт «Правила для исходящего подключения» и нажмите «Создать правило».
- Укажите «Настраиваемые»
- В следующем окне выберите «Все программы».
- В окне «Протокол и порты не изменяйте настроек.
- В окне «Область» в разделе «Укажите удаленные IP-адреса, к которым применяется правило» отметьте пункт «Указанные IP адреса», затем нажмите «Добавить» и добавьте IP-адрес сайта, который нужно заблокировать.
- В окне «Действие» укажите «Блокировать подключение».
- В окне «Профиль» оставьте отмеченными все пункты.
- В окне «Имя» назовите свое правило (название на ваше усмотрение).
На этом все: сохраните правило и теперь брандмауэр Windows будет блокировать сайт по IP-адресу, при попытке открыть его.
Блокировка сайта в Google Chrome
Здесь рассмотрим, как заблокировать сайт в Google Chrome, хотя этот способ подойдет и для других браузеров с поддержкой расширений. В магазине Chrome для этой цели есть специальное расширение Block Site.
После установки расширения, вы можете получить доступ к его настройкам через правый клик в любом месте открытой страницы в Google Chrome, все настройки на русском языке и содержат следующие опции:
- Блокировка сайта по адресу (и перенаправление на любой другой сайт при попытке входа на указанный.
- Блокировка слов (если слово встречается в адресе сайта, он будет заблокирован).
- Блокировка по времени и дням недели.
- Установка пароля на изменение параметров блокировки (в разделе «убрать защиту»).
- Возможность включить блокировку сайта в режиме инкогнито.
Все эти опции доступны бесплатно. Из того, что предлагают в премиум-аккаунте — защита от удаления расширения.
Скачать Block Site, чтобы заблокировать сайты в Chrome вы можете на официальной странице расширения
Блокировка нежелательных сайтов с помощью Яндекс.DNS
Яндекс предоставляет бесплатный сервис Яндекс.DNS, позволяющий оградить детей от нежелательных сайтов, автоматически блокируя все сайты, которые могут оказаться нежелательными для ребенка, а также мошеннических сайтов и ресурсов с вирусами.
Настройка Яндекс.DNS проста.
- Зайдите на сайт https://dns.yandex.ru
- Выберите режим (например, семейный), не закрывайте окно браузера (на понадобятся адреса из него).
- Нажимаем клавиши Win+R на клавиатуре (где Win — клавиша с эмблемой Windows), вводим ncpa.cpl и нажимаем Enter.
- В окне со списком сетевых подключений нажмите правой кнопкой мыши по вашему Интернет-подключению и выберите «Свойства».
- В следующем окне, со списком сетевых протоколов, выберите IP версии 4 (TCP/IPv4) и нажмите «Свойства».
- В полях для ввода адреса DNS-сервера введите значения Яндекс.DNS для выбранного вами режима.
Сохраните настройки. Теперь нежелательные сайты будут блокироваться автоматически во всех браузерах, а вы будете получать уведомление о причине блокировки. Есть похожий платный сервис — skydns.ru, который позволяет также настроить, какие именно сайты вы хотите заблокировать и контролировать доступ к различным ресурсам.
Как заблокировать доступ к сайту с помощью OpenDNS
Бесплатный для личного использования сервис OpenDNS позволяет не только блокировать сайты, но и многое другое. Но мы коснемся именно блокировки доступа с помощью OpenDNS. Инструкция ниже требует некоторого опыта, а также понимания, как именно это работает и не вполне подойдет начинающим, так что если сомневаетесь, не умеете самостоятельно настроить простой Интернет на компьютере, лучше не беритесь.
Для начала, вам потребуется зарегистироваться в OpenDNS Home для бесплатного использования фильтра нежелательных сайтов. Сделать это можно на странице http://www.opendns.com/home-solutions/parental-controls/
После ввода данных для регистрации, таких как адрес электронной почты и пароль, вы попадете на страницу такого вида:
На ней имеются ссылки на англоязычные инструкции по смене DNS (а именно это и потребуется для блокировки сайтов) на компьютере, Wi-Fi роутере или DNS-сервере (последнее больше подходит для организаций). Можете ознакомиться с инструкциями на сайте, но кратко и по-русски эту информацию я дам и здесь. (Инструкцию на сайте все равно нужно открыть, без нее вы не сможете перейти к следующему пункту).
Для изменения DNS на одном компьютере, в Windows 7 и Windows 8 зайдите в центр управления сетями и общим доступом, в списке слева выберите пункт «Изменение параметров адаптера». Затем кликните правой кнопкой мыши по подключению, используемому для выхода в Интернет и выберите пункт «Свойства». Затем в списке компонентов подключения выберите TCP/IPv4, нажмите «Свойства» и укажите DNS, указанный на сайте OpenDNS: 208.67.222.222 и 208.67.220.220, затем нажмите «Ок».
Указываем предоставленный DNS в параметрах подключения
Кроме этого, желательно очистить кэш DNS, для этого запустите командную строку от имени администратора и введите команду ipconfig /flushdns.
Для изменения DNS в роутере и последующей блокировки сайтов на всех устройствах, подключенных к Интернету с помощью него, пропишите указанные DNS сервера в настройках WAN подключения и, если у вашего провайдера используется Динамический IP-адрес, установите программу OpenDNS Updater (будет предложено далее) на компьютер, который чаще всего бывает включен и всегда подключен к Интернету через данный роутер.
Указываем имя сети на свое усмотрение и загружаем OpenDNS Updater, если нужно
На этом готово. На сайте OpenDNS можете перейти к пункту «Test your new settings», чтобы проверить, все ли было сделано правильно. Если все в порядке, вы увидите сообщение об успехе и ссылку для перехода в панель администрирования OpenDNS Dashboard.
Прежде всего, в консоли, вам потребуется указать IP-адрес, к которому будут применяться дальнейшие настройки. Если же у вашего провайдера используется динамический IP адрес, то потребуется установка программы, доступной по ссылке «client-side software», а также предлагаемой при назначении имени сети (следующий шаг), она будет отправлять данные о текущем IP адреса вашего компьютера или сети, если используется Wi-Fi роутер. На следующем этапе потребуется задать имя «контролируемой» сети — любое, на ваше усмотрение (скриншот был выше).
Укажите, какие сайты блокировать в OpenDNS
После того, как сеть добавлена, она появится в списке — кликните по IP адресу сети, чтобы открыть настройки блокировки. Вы можете установить заранее подготовленные уровни фильтрации, а также заблокировать любые сайты в разделе Manage individual domains. Просто введите адрес домена, поставьте пункт Always block и нажмите кнопку Add Domain (Вам также будет предложено заблокировать не только, например, odnoklassniki.ru, но и все социальные сети).
Сайт заблокирован
После добавления домена в список блокировки также требуется нажать кнопку Apply и подождать несколько минут до тех пор, пока изменения вступят в силу на всех серверах OpenDNS. Ну а после вступления всех изменений в силу, при попытке зайти на заблокированный сайт вы увидите сообщение о том, что сайт заблокирован в данной сети и предложение связаться с системным администратором.
Фильтр веб-контента в антивирусах и сторонних программах
Многие известные антивирусные продукты имеют встроенные функции родительского контроля, с помощью которых можно заблокировать нежелательные сайты. В большинстве из них, включение данных функций и управление ими интуитивно понятно и не вызывает сложностей. Также возможности блокировки отдельных IP-адресов есть в настройках большинства Wi-Fi роутеров.
Кроме этого, существуют отдельные программные продукты, как платные, так и бесплатные, с помощью которых можно установить соответствующие ограничения, среди которых — Norton Family, Net Nanny и многие другие. Как правило, они обеспечивают блокировку на конкретном компьютере и снять ее можно с помощью ввода пароля, хотя бывают и иные реализации.
Как-нибудь я еще напишу о таких программах, а это руководство пора завершать. Надеюсь, оно будет полезным.
А вдруг и это будет интересно: