Имеется windows server 2003 SP2. На нем интернет подключен через сеть.

Как заблокировать трафик практически ко всем сайтам или по диапазонам IP (для них трафик платный), кроме отдельных диапозонов IP (для них трафик бесплатный)?

Необходима сделать так, что бы любое приложение или установленная программа не могла использовать платный трафик, который я хочу заблокировать.

Возможно реализовать через файл bat?

На нем интернет подключен через сеть »
так не годится. подробнее опишите тип подключения к интернету. Может у вас прокси, или NAT один. Или железка шлюз у вас, циска там...

Там весь трафик(платный и бесплатный) идет через сеть.
Тип сервера определяется как среднее между VPS и выделенным сервером.
Из описания сервера:

Общим серверным устройством является только материнская плата и сетевая инфраструктура.

По этому возможно определить тип подключения?

юзай файл hosts (без расширения), который лежит в "%windir%\system32\drivers\etc\" !
инструкция по применению внутри этого файла!;)

По этому возможно определить тип подключения? »
нет. Тип определяется каким программным способом вы взаимодействуете с внешней сетью. Физическое подключение роли не играет. К примеру, у вас может быть просто Ethernet с использованием NAT, PPPOE, VPN, xDSL и прочие типы.
если у вас через сервер выход в интернет, то думаю это RRAS, но он тоже бывает разный, см выше.
может у вас прокси: Юзер Гейт и прочее.
Вообщем мало информации.
среднее между VPS и выделенным сервером »
это вам зачем? для выхода в интернет ? странное применение ВПС.
юзай файл hosts »
хм... если доменная структура, то можно скриптом всем заменить... интерсный способ.

Доброго вечера.

Есть сеть из 40 компьютеров. Домен.
Выход в инет через Debian. IPTABLES + SQUID
Нужно заблокировать одноклассники и ещё много чего.
Чего делал:
1) в DHCP сервере прописал статический маршрут IP_odnoklassnikov через шлюз такой-то туда-то = в никуда.
2) в DNS сервере поднял основную зону odnoklassniki.ru, создал там две записи А и CNAME - IP указал в никуда.
3) добавил правило в IPTABLES iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 212.119.216.0/27 --dport 80 -j DROP

что произходит:
odnoklassniki.ru пингуются и резолвятся по тому адресу, который я указал в DNS.
но вот не задача - сайт по прежнему доступен. Даже после обновления компьютера и шлюза - всё равно работает.
Но не у всех, у некоторых пользователей действиетльно одноклассники перестали работать.

Внимание, вопросы:
что не так? может в команде ошибся? что ещё можно предпринять? hosts не предлагать... почему не у всех работает.
Спасибо.

Наверни-ка надо дополнительные проги поставит, например Anti-Porno и добавить сайт одноклассники

New DiploBoy, это на каждый комп или на шлюз Debian ? на каждый комп - это самое последние решение.

hosts не предлагать. »
а почему? На шлюзе указать одноклассникам в 127.0.0.1 :)

На шлюзе указать одноклассникам в 127.0.0.1 »
шлюз не используется как DNS сервер. там нет DNS сервера. Компы используют AD-ый DNS. там я указал - всё равно ходят.

Компы используют AD-ый DNS. там я указал - всё равно ходят. »
что-то не верится :). Приведите tracert к одноклассникам, подумаем...
odnoklassniki.ru пингуются и резолвятся »
а у меня не пингуются даже.. :)

а у меня не пингуются даже »
да они то пингуются, то не пингуются...
что-то не верится »
что не верится? клиенты резолвят имена с помощью DNS на контроллере домена, который перенаправляет запросы на провайдерский ДНС.
Или вы думаете любой шлюз, находящийся на пути к одноклассникам, имеющий hosts учавствует в резолве?
Еслибы у клиентов указан в качестве DNS сервера - шлюз, то тогда понятно - hosts, а потом bind. Или не так?

А грамотность пользователей можно учитывать? К примеру они мосты настроили. Или прокси.

А грамотность пользователей можно учитывать? К примеру они мосты настроили. Или прокси. »
да вроде проверил: нет мостов и проксей...

Еслибы у клиентов указан в качестве DNS сервера - шлюз, то тогда понятно - hosts, а потом bind. Или не так? »
да вот затрудняюсь сказать.. Один раз был по вызову - похожая задачка была, решил. А вот как решил - не помню :(. Если у клиентов указать ДНС шлюза, то в домен они не войдут, или надо организовать форвардинг к ДНС контроллера домена, но это уже явный изврат :). Я все-таки резал бы трафик на входе шлюза - то есть запрос идет до шлюза, а тот его режет, неважно, через хост-файл или файерволл. В вашем случае как-то странно все работает, поэтому я и попросил результат taracert - хоть что-то прояснит, надеюсь :)

ЗЫ. а шлюз я предпочитаю на FreeBSD делать - там уж IPFW точно, как часы, работает :)
ЗЗЫ. в iptables не разбираюсь - может, в синтаксисе что-то не так (можно в destination указать адрес сайта, а не его IP?)

FreeBSD IPFW »
+1 но этот шлюз не я настраивал.
в синтаксисе что-то не так »
тогда бы была ругань...
можно в destination указать адрес сайта, а не его IP? »
я так и сделал.

попросил результат taracert »
C:\Documents and Settings\Porollo.MEDIA>tracert www.odnoklassniki.ru
Не удается разрешить системное имя узла www.odnoklassniki.ru.

C:\Documents and Settings\Porollo.MEDIA>ping www.odnoklassniki.ru
При проверке связи не удалось обнаружить узел www.odnoklassniki.ru. Проверьте имя узла и повторите попытку.
:o при этом всё работает.

вопрос: если в браузере указан прокси сервер - то так идут запросы? используется ли DNS сервер в сетевых настройках или все запросы обрабатываются проси ???

exo, точно не знаю, но наверно все запросы через прокси.
Пинг по адресу не пробовал?

прописал в Debian в /etc/hosts 127.0.0.1 www.odniklassniki.ru - НЕ работает !!!

ERROR
The requested URL could not be retrieved

--------------------------------------------------------------------------------

While trying to retrieve the URL: http://www.odnoklassniki.ru/

The following error was encountered:

Connection to 127.0.0.1 Failed
The system returned:

(110) Connection timed outThe remote host or network may be down. Please try the request again.

Your cache administrator is webmaster.



--------------------------------------------------------------------------------

Generated Sun, 22 Feb 2009 21:20:23 GMT by proxy.media.local (squid/2.6.STABLE5)

всё поехал домой, завтра остальные сайты заблокирую...

Спасибо!

Спасибо! »
это, похоже, мне :)
Я ведь еще в первом посте предложил, а вы - "да не, не буду, не хочу, не предлагайте.." :biggrin:

Кстати, вспомнил как тогда выкрутился - сеть без домена, но модем зухелевский, так вот я там добавил static route одноклассников на несуществующий адрес. Все браузеры отваливались по тайм-ауту.
Я собираюсь в офисе вообще перенаправлять с заблокированных сайтов на локальный сервер, а там выдавать страничку "Сайт ушел на работу. Заходите в нерабочее время" :biggrin:

вот я там добавил static route одноклассников на несуществующий адрес. »
я так в DHCP сделал... но походу при прокси, на маршруты пофигу...