Однокласники не простая штука :) я с ними бился не одну неделю, бился через прокси(юзергейта) и не мог понять в чём же дело, когда на одной машине запрет есть, а на другой идущей через этот же прокси запрета нет... оказалось всё супер как просто и даже смешно...

у них зеркальный домен(вроде это так называеться) есть odnoklaSSniki, а есть odnoklaSniki. У меня корень зла был именно в этом. Посмотри, может и у тебя были с этим проблемы и не стоило совершать тысячу столь сложных действий....

Ultrix, да у них и на одноклаССниках несколько IP, на всякий такой случай, видимо :)
но походу при прокси, на маршруты пофигу... »
да хз... я в модеме/маршрутизаторе указывал, так что хоть прокси, хоть еще что..

Ultrix,
X:\>ping odnoklaSSniki.ru

Обмен пакетами с odnoklaSSniki.ru [212.119.216.3] с 32 байт данных:

Превышен интервал ожидания для запроса.

Статистика Ping для 212.119.216.3:
Пакетов: отправлено = 1, получено = 0, потеряно = 1
(100% потерь)
Control-C
^C
X:\>ping odnoklaSniki.ru

Обмен пакетами с odnoklaSniki.ru [212.119.216.5] с 32 байт данных:

Превышен интервал ожидания для запроса.

Статистика Ping для 212.119.216.5:
Пакетов: отправлено = 1, получено = 0, потеряно = 1
(100% потерь)
Control-C
^C
X:\>ping www.odnoklaSniki.ru

Обмен пакетами с www.odnoklaSniki.ru [212.119.216.6] с 32 байт данных:

Control-C
^C
X:\>ping www.odnoklaSSniki.ru

Обмен пакетами с www.odnoklaSSniki.ru [212.119.216.5] с 32 байт данных:

Control-C
^C
X:\>
нда... по именам запарюсь блочить... в файле hosts маска прокатит ? типа 127.0.0.1 *.odnoklassniki.ru ведь там куча поддоменов WG#....
да у них и на одноклаССниках несколько IP »
скорее всего это не просто разные IP, а разные машины. ведь столько народу там сидит в рабочие дни... одной машине тяжко будет.
я в модеме/маршрутизаторе указывал, так что хоть прокси, хоть еще что »
тогда и я попробоую route add сделать...

Ultrix, да у них и на одноклаССниках несколько IP, на всякий такой случай, видимо »

Вот я и решил по именам закрыть.. *odnoklassniki* и *odnoklasniki* проблема решилась...

Ultrix, нам бы всё-таки вариант для опен-сурса :). Или "железный", чтоб наверняка блокировал

Кусочек из whois:
inetnum: 212.119.216.0 - 212.119.216.255
netname: RU-SOVINTEL-MSK-Odnoklassniki-RU-NET
На шлюзе всю подсеть и блокировать. Только не так:
3) добавил правило в IPTABLES iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 212.119.216.0/27 --dport 80 -j DROP »
До этого правила уже отработаны цепочки NAT и source IP подменен. И маска для сетки одноклассников не та. Лучше было бы блокировать пакет в цепочке OUTPUT:
iptables -A OUTPUT -d 212.119.216.0/24 -j DROP

прописал в Debian в /etc/hosts 127.0.0.1 »
SQUID может быть настроен на использование внешнего DNS... а hosts - всегда локальный.
Выход в инет через Debian. IPTABLES + SQUID »
Что помешало прикрутить к SQUID'у Режик (http://www.rejik.ru) (например)?
+ запретить ходить в интернет мимо прокси?

И маска для сетки одноклассников не та »
я блочил лишь те который определил пингом: подсеть из 32 адресов... маска то естесственно /24 для всей сети.
gf100, да хз... не я устанавливал. вот и пытаюсь, тем что досталось. но думаю, позже форматну всё...

Да, фиг с ней, с маской. Правило, которое вы написали, не работало. Первыми в iptables обрабатываются цепочки для таблицы NAT. Пакет должен уйти в инет, следовательно, выполнится маскарадинг, а вы указали -s для локальной сети.
iptables -A OUTPUT -d 212.119.216.0/24 -j DROP
на шлюзе и ни один коннект к одноклассникам не пройдет, хоть через прокси, хоть мимо.

не я устанавливал »
В squid.conf строка:

dns_nameservers 127.0.0.1 - DNS поднят на этой же машине. А может быть прописан на внешний сервер.

на шлюзе и ни один коннект к одноклассникам не пройдет, хоть через прокси, хоть мимо. »
На мой взгляд "резать под корень" - не наш путь. Закрывать надо красиво и с возможностью приоткрыть... себе любимому :)

На мой взгляд "резать под корень" - не наш путь. Закрывать надо красиво и с возможностью приоткрыть... себе любимому »
Согласен, у себя я сделал это на прокси, - группы юзеров с разными правами и анализ URL с блокировкой. Некоторым нельзя почти ничего, а некоторым - можно все. :)

Да уж... Ничто не стоит на месте, тема получает дополнительное развитие -zapretanet.ru (http://www.zapretanet.ru/)

zapretanet.ru »
жесть... физически - это совсем другой сервер... интересно - это сам владелец идею подал, или кто-то из сторонних?
Зеркало, но с отличающимся доменным именем.

Выход один - настраивать вайт-листы. Блочить всё, и открывать лишь нужные сайты.

Да уж... Ничто не стоит на месте, тема получает дополнительное развитие -zapretanet.ru »
Ну в принципе работы админу ненамного прибавиться. Всего лишь заходить раз в неделю на этот сайт и блочить новые зеркала.

Собираюсь сделать фильтрацию на основе "белого списка" , думаю, легче прописать 10-20 разрешенных сайтов, чем вписывать кучу блокируемых.
ЗЫ, никто не знает, как сделать "белый список" подгружаемым из файла (мне для IPFW) :beta:

Подскажите пожалуйста как закрыть доступ к определённым веб страницам, и как закрыть приложения icq ?

и как закрыть приложения icq ? »Закрыть или запретить выход в Интернет?

Запретить пользоваться icq!

юзайте http://www.squidguard.org/ отличная штука.

Что это за ссылка?