Как определить какие диапазоны ip адресов используют соц. сети
 

Здравствуйте.

Администрирую компанию. Руководством поставлена задача в определённое время ограничить доступ к некоторым сайтам. Сначала всё реализовал на уровне проверки доменного имени. Потом начал замечать что моя "магия" бессильна над приложениями и играми на сайте odnklassniki.ru. Присмотрелся в логи прокси-сервера и увидел там трафик с неизвестных ip адресов. К примеру 188.127.247.201. Трасса к нему почему-то не доходит. Обратной зоны у него нет. Призадумался и решил забанить все ip-сети этих социальных сетей. Нашёл пример . Почерпнул из него список сетей. Потом понял, что эти сети админами прописаны в TXT записях доменных имён и начал забирать их при помощи команды gig. Проделал немалую работу. А потом понял, что тот самый ip адрес, указанный в начале, не попал ни в одну из найдённых мною сетей.

Есть предложения как можно узнать сети?

можно попробовать опрашивать ДНС, которые вы используете и не используете.

exo, извините, я не понял что Вы имели ввиду

Очередной пример, демонстрирующий, что чёрные списки не работают.

Tonny_Bennet, с этими контактами/одноклассниками почти бесполезно бороться, ибо юзверь всегда может воспользоваться анонимайзерами, которые вырастают как грибы после дождя. Закрываешь одни, появляются новые.

Когда у них руки дойдут до анонимайзеров, прокси-серверов, ssh-тунейлей мы будем устраивать показательные казни с введением штрафов и т.д.

А сейчас мне хочется узнать как можно больше диапазонов сетей.

P.S. После создания темы ко мне подошёл один из сотрудников и задал вопрос: "А чего ты одноклассников совсем закрыл?". Я сначала не понял смысл слова "совсем". Он мне пояснил, мол раньше, когда он заходил со своего айфона в рабочее время через wi-fi корпоративной сети, у него всё работало. А сейчас перестало работать! В чём дело?! Съехал на то, что нашёл дырки в настройке и прикрыл их по указанию руководства.

Вывод: блокировка сетей работает гораздо эффективнее, чем блокировка доменных имён.

опрос ДНС серверов, каждый ДНС сервер знает об адресах сайтов. Однако, как видите, мой ДНС знает одну сеть, а ДНС гугл знает другую сеть.

у вас прокси есть? или пользователи напрямую в инет (через фаервол) ходят?

Странно, но на сколько я помню где-то в глубинах AD была фишка блокирования по результату поиска. Или допустим можно настроить ISA

в глубинах АД блокировать веб-сайт? Мне кажется, вы что-то сильно путаете...

Автор пока не ответил, чем он блокирует.

Ну в таком случае может что-то из этого
http://www.websense.com/content/home.aspx
хотя я бы сделал по другому. Раз уж все компы находятся в одной сети, то можно просто написать тбатник, который подправит файл hosts и указать там что-то типа
mail.ru {IP вашего сервера}
vk.com {IP вашего сервера}
а на сервере поднять apache с какой-нибудь страницей, типа при попытке входа в соц сеть всех выкидывает на одну и ту же страницу.

Все пользователи ходят через squid. Блокировку я настраиваю там же.

Опрашивать DNS смысла не вижу т.к. трафик идёт от сервера, у которого нет ни прямой ни обратной зоны DNS. Наверное одноклассники.ру там прост держат какие то сервисы.

Было бы хорошо, но бизнес такой что наперёд не знаешь какие сайты могут понадобиться.

и запретить *.odnoklassniki.ru не помогает?

РРРРРРрррррр.....

Я запретил *.odnoklassniki.ru! Потом посмотрел статистику трафика сотрудника, который играл в игрушки с одноклассников. Трафик шёл с адресов: 188.127.247.201, 188.93.63.233 - они так в статистике отображается.

У одноклассников есть близкая подсеть. Вот мне кажется что реально у них просто сеть больше чем заявлена в описании доменного имени.

Tonny_Bennet, не пойму, а как они играют на одноклассниках, если они заблокированы?
Кстати, игры которые в социальных сетях могут хостится на своих серверах. Обычно так и бывает. В соц сетях только ссылка на приложение\игру, которая указывает откуда брать контент.
У меня был покер в вконтакте. На работе прикрыли ИП покера - вконтакт захожу, а в покер нет.

Ваш вопрос:
Ваш ответ на ваш же вопрос:

Реально ли как нибудь узнать адреса этих железок?!

P.S. Пользователи запускают игрушку до начала рабочего дня или в обеденный перерыв, когда доступ в соц. сети открыт. А когда включается блокировка сам сайт не работает, а игрушка продолжает работать.

смотрите логи, и блокируйте всё, что не нравится.
интересная политика, открывать доступ временно...

получится буду ловить по одному адресу каждый день :)

такую политику установило руководство компании: в рабочее время соц. сети закрыть!

я думаю врядли существуют "блек листы" для данных "ресурсов".
Зато не спеша закроете ВСЁ. Москва не сразу строилась ;)
Кстати, когда у сотрудников обеденный перерыв - тоже открываете? ведь это не рабочее время...

Проще, наверное, установить какую-нибудь фигнюшку типа LANVisor и ввести "показательные казни и штрафы".

Есть бесплатная программа UltraVNC , которая использует стандартный протокол VNC
Заглянули на компьютер очередного "игрока", увидели "деятельность неслужебного характера" - и служебную записку директору.

Да, в обеденный перерыв доступ открыт.

Поставил давно одному из руководителей компании VNC и он иногда проводил "беседы" с пользователями. Учредители компании против системы штрафов. Они считают, что это будет настраивать коллектив против них. Пока решили ограничиться мерами со стороны сисадмина т.е. меня :)

Я уже начал по одному закрывать айпишники. Посмотрим что из этого выйдет

однажды начальник решил понаблюдать за нами с помощью DameWare. Настроили её так, что при подключении не видно кто подключился. даже экран не моргает.
что я сделал.
нашёл процесс, который запускается при "подключении" и создан на него задание - если этот процес работает больше 2 секунд (только так смог), то вывести мне на экран "что-нибудь" (тога у меня было просто сообщение о процессе, т.к. стояла 2003 винда.)
Здесь тоже можно замутить похожее, и выводить на экран не событие, а что-либо другое.

Тему считаю решённой ибо решить её до конца не представляется возможным.

Выводы: узнать диапазоны ip адресов соц сетей можно только из описания зоны DNS, остальные побочные сервисы нужно банить персонально.

Tonny_Bennet, была и передо мной такая задача поставлена..
Как не бился я, на 100% закрыть все не получилось.

Итог: Ввели систему штрафов, естественно, перед этим все объяснив сотрудникам.