Доброго времени суток, коллеги! Поставили тут на днях мне задачу по блокировке мессенджеров: вотсап, телеграм и пр. Ну, репу почесав, начал думать что почем. Забегая вперед, скажу, что с небольшими оговорками, но телегу, таки, можно заблокировать. Начнем разбор.
Начнем с простого - WhatsApp. Для блокировки этого мессенджера достаточно завести в собственном домене, если мы говорим об организации, то всяко у вас актив директори и свои днсы. Просто создаем новую зону "whatsapp.com" и в ней указываем какой-нибудь внутренний портал, на котором крутится инфа, что данный ресурс заблокирован в связи с тем-то и тем-то, распоряжением того-то, за подписью самого-самого... Ну, вы поняли. Обязательно указываем адрес "web", чтобы смотрел на тот же портал.
Собственно и все, данный сайт и мессенджер перестал работать на всех компьютерах и мобильниках в компании, которые подключены к корпоративному вай-фаю. Можно на этом и закончить, но мы должны понимать, что это не блокировка, а всего-лишь подмена адреса. Т.е. если вводить вместо web.whatsapp.com его ip-адрес, то сайт откроется. Далее рассмотрим как и эту лазейку закрыть и переходим к блокировке телеги.
Для начала, давайте посмотрим куда ломится клиент телеги. Я использую простенькое приложение TCPview, которое было еще в наборе сисинтерналс.
Сколько ни наблюдал, этих адресов всего 2, новых не всплывает. Ну, проще будет заблокировать. И перейдем к блоку сайта telegram.org. Можно по аналогии с клиентом по ip просто в фаерволе заблокировать, но я предлагаю чуть усложнить на вырост, если вдруг telegram.org переедет на другой хостинг. Блокируем сайт для ограничения доступа к скачиванию клиента. Да, это не закроет все остальные зеркала, но бОльшую часть пользователей отвадит уже на этом этапе.
Посмотрите другую мою статью, в которой я рассказывал как блокировать teamviewer и anydesk. На ее основе сделаем маркировку пакетов, в которых встречается слово "telegram" и будем блокировать все, что с этим связано. Туда же, кстати, добавим и "whatsapp". Не буду подробно расписывать как это делать, укажу только конечный результат и итоговый скрипт. Вот он:
- /ip firewall layer7-protocol
- add name=messanger regexp="^.+(telegram|whatsapp).*\$"
- /ip firewall address-list
- add address=192.168.0.0/16 list=local_list
- add address=172.16.0.0/12 list=local_list
- add address=100.64.0.0/10 list=local_list
- add address=10.0.0.0/8 list=local_list
- add address=149.154.167.51 list=block_list
- add address=149.154.167.50 list=block_list
- add address=157.240.205.60 list=block_list
- add address=31.13.72.52 list=block_list
- /ip firewall filter
- add action=drop chain=forward comment=TELEGRAM connection-mark=mess_conn src-address-list=local_list
- add action=drop chain=forward dst-address-list=block_list src-address-list=local_list
- /ip firewall mangle
- add action=mark-connection chain=prerouting comment=TELEGRAM layer7-protocol=messanger new-connection-mark=mess_conn passthrough=yes
В данном скрипте, который мы копируем и вставляем в New Terminal окне WinBox'a или через ssh подключение. В результате мы получим 2 списка: local_list и block_list, которые описывают всю возможную локальную подсеть, какая только у вас может быть согласно RFC1918 и внешние адреса телеги и вотсапа, к которым обращался клиент после старта. Правило маркировки и условия маркировки: "все, где встречается telegram или whatsapp". И правила в фаерволе, которые говорят что с этими пакетами делать, в нашем случае дропать. После копипаста откройте меню IP -> Firewall и поднимите два нижних правила вверх, чтобы получилось вот так:
Все, после этого действия все клиенты и сайты телеги и вотсапа перестанут работать. На здоровье!
PS Данный метод не учитывает работу через VPN-анонимайзеры, т.к. трафик начинает шифроваться уже на самом пк и роутер просто не знает что в зашифрованном пакете. Чтобы справиться и с этой напастью, нам надо будет поднять либо прокси-сервер, либо более мощный шлюз, который умеет на лету разбирать шифрованные пакеты, либо решать эту задачу антивирусными клиентами, например, касперский это умеет, но активация этой функции резко нагрузит цп и комп начнет подлагивать. Короче, эти варианты решаемы и, скорее всего, если в организации у вас не полный бардак, то юзеры не имеют админских прав и ограничены в своих желаниях ставить сторонний софт и плагины в браузерах. Так что, думаю, для многих этих действий будет достаточно.
Спасибо за внимание, надеюсь было интересно и познавательно. Буду благодарен за лайк и подписку - это поднимет канал в рейтинге дзена и мою мотивацию писать для вас другие интересности! Удачи и успехов!