Blokování YouTube na určitě MAC od-do

dosek · May 24, 2018, 4:24pm

Mám je jednoduchý dotaz. Potřebuji nastavit jednoduché pravidlo na odstrizeni YouTube a jeho subdomén. Na určitém zařízení (MAC) a v době od-do. Jelikož nejsem příliš zdatný v OpenWRT podařilo se mi jen zprovoznit luci-acess-control. Tam je ale rovnou odstřizení celého internetu,což nechci. Díky za rychlou radu.

ocko · May 24, 2018, 7:00pm

Použil bych cron a přidával/odebíral pravidlo do iptables. Pokud jde o blokování dětem tak by to mělo jít jednoduše takto: Google-Family-Link

Taky by tím cronem šlo editovat lokální hosts soubor nebo použít tinyproxy

EDIT: a ted koukám ,že v luci ve firewallu jde pro pravidla specifikovat i čas od -do, takže by stačilo naházet ip adresy youtubu jednoduše tam.

mpetracek · May 25, 2018, 9:24am

Tohle je ledacos, jen ne jednoduchý dotaz/problém.

blokování na základě IP nebude moc fungovat, pravděpodobobně si odříznete i další služby Googlu.
můžete blokovat DNS dotazy na lokálním resolveru, to půjde, ale od/do nebude rozumně fungovat kvůli kešování dotazů
- nebude fungovat pro dotazy na cizí DNS (třeba 8.8.8.8), leda byste přesměroval všechen DNS provoz na svůj resolver, to už je ošklivé, neměl byste to dělat a možná si něco rozbijete
nejspolehlivější je imo blokování podle app-layer informací (TLS SNI/certifikátu), což umí Suricata. Dlouhodobě bysme něco takového chtěli mít jako součást Parental Controlu, ale ještě to není - víme jak to udělat, ale zejména nemáme zatím user-friendly způsob nastavení. V zásadě to co popisujete je možné pomocí jednoho pravidla pro Suricatu (až na časové intervaly, to by se muselo řešit cronem na výměnu pravidel). Pokud byste s tím chtěl exerimentovat, tak bych vám mohl napsat podrobnější popis, ale vyžaduje to dost konfigurace přes SSH.

Každopádně bych podotknul že tohle se nikdy nedá udělat naprosto spolehlivě, blokování pomocí app-level informací řeší trochu víc, ale dá se obejít třeba pomocí VPN/Toru… záleží na zdatnosti uživatele.

ocko · May 25, 2018, 12:22pm

Moc nevím jak to mají udělaný ,ale třeba iptables -I FORWARD -p tcp -d www.facebook.com -j DROP fungujue spolehlivě. Na youtube si to vždycky najde jinou cestu

vcunat · May 25, 2018, 12:36pm

google.com a youtube.com mají stejnou IP (v tuto chvíli, v mém místě)

Nones · May 25, 2018, 4:40pm

Ano, na mém místě i v tomto okamžiku také!

Name: google.com
Addresses: 2a00:1450:4014:80c::200e
172.217.23.206

Name: youtube.com
Addresses: 2a00:1450:4014:80c::200e
172.217.23.206

dosek · May 27, 2018, 7:04pm

To je sice super, ale Family Link funguje jen na Androidu. Na iOS (zatím) ne.

ocko · May 27, 2018, 7:34pm

Jasný psal jsem to jen jako možnost a nějak jsem nepředpokládal ,že tu má někdo ten geekovskej IOS