Здравствуйте.

Администрирую компанию. Руководством поставлена задача в определённое время ограничить доступ к некоторым сайтам. Сначала всё реализовал на уровне проверки доменного имени. Потом начал замечать что моя "магия" бессильна над приложениями и играми на сайте odnklassniki.ru. Присмотрелся в логи прокси-сервера и увидел там трафик с неизвестных ip адресов. К примеру 188.127.247.201. Трасса к нему почему-то не доходит. Обратной зоны у него нет. Призадумался и решил забанить все ip-сети этих социальных сетей. Нашёл пример (http://www.avkuzmin.ru/2009/11/%D0%BA%D0%B0%D0%BA-%D0%B7%D0%B0%D0%BA%D1%80%D1%8B%D1%82%D1%8C-%D0%BE%D0%B4%D0%BD%D0%BE%D0%BA%D0%BB%D0%B0%D1%81%D1%81%D0%BD%D0%B8%D0%BA%D0%BE%D0%B2-%D0%B8-%D0%B2%D0%BA%D0%BE%D0%BD%D1%82%D0%B0%D0%BA.html) . Почерпнул из него список сетей. Потом понял, что эти сети админами прописаны в TXT записях доменных имён и начал забирать их при помощи команды gig. Проделал немалую работу. А потом понял, что тот самый ip адрес, указанный в начале, не попал ни в одну из найдённых мною сетей.

Есть предложения как можно узнать сети?

C:\Users\юзерь>nslookup odnoklassniki.ru 8.8.8.8
Server: google-public-dns-a.google.com
Address: 8.8.8.8

Non-authoritative answer:
Name: odnoklassniki.ru
Addresses: 217.20.149.164
217.20.149.179
217.20.152.25
217.20.152.26
217.20.152.56
217.20.152.58
217.20.152.66
217.20.152.91
217.20.152.98
217.20.152.122
217.20.152.130
217.20.152.131
217.20.145.36
217.20.145.50
217.20.145.66
217.20.145.98
217.20.145.158
217.20.145.206


C:\Users\mau>nslookup odnoklassniki.ru
Server: blinky.office.local
Address: 192.168.10.1

Non-authoritative answer:
Name: odnoklassniki.ru
Addresses: 217.20.152.25
217.20.152.26
217.20.152.56
217.20.152.58
217.20.152.66
217.20.152.91
217.20.152.98
217.20.152.122
217.20.152.130
217.20.152.131
217.20.145.36
217.20.145.50
217.20.145.66
217.20.145.98
217.20.145.158
217.20.145.206
217.20.149.164
217.20.149.179
можно попробовать опрашивать ДНС, которые вы используете и не используете.

exo, извините, я не понял что Вы имели ввиду

Очередной пример, демонстрирующий, что чёрные списки не работают.

Tonny_Bennet, с этими контактами/одноклассниками почти бесполезно бороться, ибо юзверь всегда может воспользоваться анонимайзерами, которые вырастают как грибы после дождя. Закрываешь одни, появляются новые.

Когда у них руки дойдут до анонимайзеров, прокси-серверов, ssh-тунейлей мы будем устраивать показательные казни с введением штрафов и т.д.

А сейчас мне хочется узнать как можно больше диапазонов сетей.

P.S. После создания темы ко мне подошёл один из сотрудников и задал вопрос: "А чего ты одноклассников совсем закрыл?". Я сначала не понял смысл слова "совсем". Он мне пояснил, мол раньше, когда он заходил со своего айфона в рабочее время через wi-fi корпоративной сети, у него всё работало. А сейчас перестало работать! В чём дело?! Съехал на то, что нашёл дырки в настройке и прикрыл их по указанию руководства.

Вывод: блокировка сетей работает гораздо эффективнее, чем блокировка доменных имён.

извините, я не понял что Вы имели ввиду »
опрос ДНС серверов, каждый ДНС сервер знает об адресах сайтов. Однако, как видите, мой ДНС знает одну сеть, а ДНС гугл знает другую сеть.

у вас прокси есть? или пользователи напрямую в инет (через фаервол) ходят?

наверное проще запретить все, и разрешить только определенные сайты

Странно, но на сколько я помню где-то в глубинах AD была фишка блокирования по результату поиска. Или допустим можно настроить ISA

в глубинах AD была »
в глубинах АД блокировать веб-сайт? Мне кажется, вы что-то сильно путаете...

Автор пока не ответил, чем он блокирует.

Ну в таком случае может что-то из этого
http://www.websense.com/content/home.aspx
хотя я бы сделал по другому. Раз уж все компы находятся в одной сети, то можно просто написать тбатник, который подправит файл hosts и указать там что-то типа
mail.ru {IP вашего сервера}
vk.com {IP вашего сервера}
а на сервере поднять apache с какой-нибудь страницей, типа при попытке входа в соц сеть всех выкидывает на одну и ту же страницу.

Все пользователи ходят через squid. Блокировку я настраиваю там же.

Опрашивать DNS смысла не вижу т.к. трафик идёт от сервера, у которого нет ни прямой ни обратной зоны DNS. Наверное одноклассники.ру там прост держат какие то сервисы.

наверное проще запретить все, и разрешить только определенные сайты »

Было бы хорошо, но бизнес такой что наперёд не знаешь какие сайты могут понадобиться.

Все пользователи ходят через squid. Блокировку я настраиваю там же. »
и запретить *.odnoklassniki.ru не помогает?

и запретить *.odnoklassniki.ru не помогает? »

РРРРРРрррррр.....

Я запретил *.odnoklassniki.ru! Потом посмотрел статистику трафика сотрудника, который играл в игрушки с одноклассников. Трафик шёл с адресов: 188.127.247.201, 188.93.63.233 - они так в статистике отображается.

У одноклассников есть близкая подсеть. Вот мне кажется что реально у них просто сеть больше чем заявлена в описании доменного имени.

Tonny_Bennet, не пойму, а как они играют на одноклассниках, если они заблокированы?
Кстати, игры которые в социальных сетях могут хостится на своих серверах. Обычно так и бывает. В соц сетях только ссылка на приложение\игру, которая указывает откуда брать контент.
У меня был покер в вконтакте. На работе прикрыли ИП покера - вконтакт захожу, а в покер нет.

Ваш вопрос:
Tonny_Bennet, не пойму, а как они играют на одноклассниках, если они заблокированы? »

Ваш ответ на ваш же вопрос:

игры которые в социальных сетях могут хостится на своих серверах. Обычно так и бывает. В соц сетях только ссылка на приложение\игру, которая указывает откуда брать контент. »

Реально ли как нибудь узнать адреса этих железок?!

P.S. Пользователи запускают игрушку до начала рабочего дня или в обеденный перерыв, когда доступ в соц. сети открыт. А когда включается блокировка сам сайт не работает, а игрушка продолжает работать.

Реально ли как нибудь узнать адреса этих железок?! »
смотрите логи, и блокируйте всё, что не нравится.
Пользователи запускают игрушку до начала рабочего дня или в обеденный перерыв, когда доступ в соц. сети открыт. »
интересная политика, открывать доступ временно...

смотрите логи, и блокируйте всё, что не нравится. »

получится буду ловить по одному адресу каждый день :)

интересная политика, открывать доступ временно... »

такую политику установило руководство компании: в рабочее время соц. сети закрыть!

получится буду ловить по одному адресу каждый день »
я думаю врядли существуют "блек листы" для данных "ресурсов".
Зато не спеша закроете ВСЁ. Москва не сразу строилась ;)
Кстати, когда у сотрудников обеденный перерыв - тоже открываете? ведь это не рабочее время...

Проще, наверное, установить какую-нибудь фигнюшку типа LANVisor (http://www.lanvisor.com/rus/) и ввести "показательные казни и штрафы".