Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: elekton 29. 04. 2017, 11:52:31
-
zdravím, potřebuji poradit, jak blokovat reklamy v tom smyslu, aby se nedostaly do čistého(bez adblocku/hosts) browseru připojeného k internetu přes router. Nastavit to potřebuji právě v tom routeru, jelikož PC se mohou měnit.
Na routeru funguje pouze "URL Filter", který filtruje testovené URL podle výskytu aspoň jednoho z podřetězců bez podpory regexp ani wildcard znaků. (Ačkoli v popisu admin. rozhraní jsou příklady, ze kterých se zdá, že to funguje jen na Host část URL, funguje to na celou URL). Bohužel to nefunguje na https, na kterém jede youtube, pokud vím. (Což sice dává smysl, že na šifrovaném spojení se nedá provádět URL filtering, ale aspoň mohli tam udělat,aby to filtrovalo doménu, která se dá zjistit i při https.)
-
Jelikož se reklamy na YT tahají ze stejných CDN serverů jako samotná videa (video jako video), tak toho blokací domén nedosáhnete.
Ale můžete aspoň blokovat reklamní bannery, když si dáte tu práci a z blacklistu, co se stahuje do adblocku, ty domény nějak přendáte do blacklistu na routeru.
-
1) Pomocí DNS serveru (obdoba /etc/hosts ale lepší) na routeru můžeš zablokovat celé domény – tím se zbavíš podstatné části známých hnojů (reklamní a sledovací servery)
2) Pokud jde o nešifrované HTTP, můžeš na routeru pustit (i transparentní) HTTP proxy server – ten už „vidí“ i URL, ne jen doménu, a může filtrovat na základě regulárních výrazů v celé adrese. Případně by mohl zasahovat i do obsahu stránek, např. filtrovat na základě XPath nebo CSS selektorů, něco jako dělá AdBlock.
3) Pokud jde o šifrované HTTPS, musel bys na routeru dělat MITM útok na komunikaci – odšifrovat a pak zase zašifrovat svým klíčem, jehož certifikát bys nainstaloval na všechny klienty.
Na 3 bych se vykašlal, protože je to moc velké bezpečnostní riziko (při napadení routeru je všechno v háji a klienti nic nepoznají). Možnost 2 nemá moc budoucnost, protože už dnes se velká část komunikace šifruje a časem se bude šifrovat úplně všechno.
Na routeru bych tedy blokoval pomocí DNS (vracet, že doména neexistuje, nikoli 127.0.0.1, aby se prohlížeč ani nepokoušel navazovat TCP spojení na localhost – je to zbytečné a někdy tam i běží HTTP server a dělá to akorát bordel) a na klienty nainstaloval AdBlock Plus / uBlock Origin případně další doplňky (https://kinderporno.cz/d/node/509).
-
2) Chtěl bych poradit, nějaký konkrétní program, který tenhle "adblock" proxy umí. Díky za připomenutí, tohle mě zajímá.
Samozřejmě, že nejlepší je, když každý klient má dns filtr (i ten "blbý" hosts) a dále esenciální doplňky typu __block spolu , noscript nutné pro bezpečné a klidné prohlížení webů , mě v tomhle dotazu jde spíš o "ty klienty", kteří "jsou noví" a potřebnou výbavu nemají (přeinstovaný PC, návštěva, mobil, kam adblock nedám).
-
2) Chtěl bych poradit, nějaký konkrétní program, který tenhle "adblock" proxy umí.
privoxy
Samozřejmě, že nejlepší je, když každý klient má dns filtr (i ten "blbý" hosts) a dále esenciální doplňky typu __block spolu , noscript nutné pro bezpečné a klidné prohlížení webů , mě v tomhle dotazu jde spíš o "ty klienty", kteří "jsou noví" a potřebnou výbavu nemají (přeinstovaný PC, návštěva, mobil, kam adblock nedám).
Mně přijde nejlepší klientům do komunikace nevstupovat (z takovýchto sítí jsem fakt nadšený, když zablokují něco omylem, nebo jejich transparentní proxy neočekává, že by někdo chtěl port 80 nebo 443 používat třeba na ssh, nebo to rozbije ipsec, nebo whatever).
-
Mně přijde nejlepší klientům do komunikace nevstupovat
Přesně tak! Minimálně bys jim měl dát na výběr jestli proxy ano/ne. Bude to znít možná neuvěřitelně ale představ si že existujou lidi kterým šmírování a reklamy nevadí, nebo potřebujou nefiltrovaný připojení z jinačích důvodů. Než se snažit takto násilně páchat dobro ;D Rozjeď si někde squid₊sslbump a lidi kterým reklamy vadí a neumí si s tím poradit sami, si ochotně tvůj certifikát nainstalujou. Můžeš se mrknout na captive portal (https://en.wikipedia.org/wiki/Captive_portal) jestli by to třeba nešlo nejak automatizovat aby se klientovi zobrazila výzva, ten jednou dvakrát kliknul a hotovo.
-
Take resim neco podobneho, ne sice na youtube, ale v podstate kdekoliv jinde na ceskem internetu, neb reklamy jsou stale drzejsi a drzejsi a web se pak neda cist. Mam router Mikrotik (OS 6.37.5), ale ikdyz jsem vyzkousel ruzne navody, tak se mi nedari blokovat konkretni adresy, nema tu s tim nekdo zkusenost?
-
Já to blokuju přes statické dns záznamy. Firewall pravidlo viz bod 1 na https://github.com/aziraphale/routeros-dns-adblock a pak už jen seznam domén směrovat na danou ip např. 240.0.0.3 Seznam dns na různé reklamni servery jsem nekde vygooglil, spojil a napsal script a přes terminál spustil. Mám tam asi 2000 záznamů a nevypadá to, že by to nějak zpomalovalo.
-
ikdyz jsem vyzkousel ruzne navody, tak se mi nedari blokovat konkretni adresy, nema tu s tim nekdo zkusenost?
Zeptej se na Ministerstvu Financí, ti to určitě umí. Ostatní lidé ti řeknou, že to kvůli HTTPS nejde.
-
Problém statických záznamů je, že se musí 1. furt aktualizovat 2. nepochytí dynamicky (https://forum.root.cz/index.php?topic=15007.0)generované svinstvo běžící dokonce na stejné doméně, za 3. přes HTTPS nevidí (tohle téma včetně MITM se v tomto threadu opakovalo hodněkrát)
Za další, nejsou to jen reklamy, co vadí, zdržuje, šmíruje, ruší (lichva, krém na hemeroidy). Různé rádoby widgety, cookie consenty, "pixely", XHR loggery aktivity, sdíleče, analyzátory klikání. Kdo to zná, tak ví, jak to dokáže nafouknout velikost stránky.
Ohledně captive portálu nebo "slušnosti" nevstupování to nechci řešit. Není to pro klienty ve smyslu host v kavárně ale klient access pointu. Je to pro mojí osobní potřebu.
-
Problém statických záznamů je, že se musí 1. furt aktualizovat 2. nepochytí dynamicky (https://forum.root.cz/index.php?topic=15007.0)generované svinstvo běžící dokonce na stejné doméně, za 3. přes HTTPS nevidí (tohle téma včetně MITM se v tomto threadu opakovalo hodněkrát)
ad 1. (nejen) Mikrotik - da se automatizovat pravidelna aktualizace seznamu domen
Dynamicky obsah samozrejme ne, ale lepsi neco, nez nic. Nekdo dalsi muze poradit doplnek. Ono asi jedinym resenim se nezbavis vsech reklam, holt to bude sada opatreni. Vcetne napsani danemu webu, ze pouziva hnus reklamu a dokud se nezlepsi, odchazis. Jinak to nepujde - jako ve vsem. Kdyz se lidi neozvou a/nebo neodejdou, nic se nezmeni.
-
Zdravim!
Ja blokoju na serveru DNS pomoci unbound (ktery je zaroven nastaven jako transparentni proxy - google DNS a par znamych dalsich otevrenych DNS resolveru blokuji natvrdo pres IP) - pouzivam seznamy z https://pgl.yoyo.org/adservers/serverlist.php?hostformat=nohtml&showintro=0&mimetype=plaintext a http://mirror1.malwaredomains.com/files/domains.txt, ktere si prechroustam skriptem a udelam z nich konfigurak pro unbound. Pak mam jeste vlastni rucne udrzovany seznam (napriklad kompletne blokuji v siti facebook, whatsup, vkontakte a podobne zmrdoviny).
K tomu pak jeste na urovni iptables blokuji cely autonomni segment facebooku ;-) (taky mam maly skript, ktery vzdy z whois vycuca prislusne rozsahy a udela z nich pravidla pro iptables).
Krom toho ale mam v prohlizeci nainstalovan NoScript, PrivacyBagder a hlavne "Self-Destructing Cookies", takze nakonec uz jsem dlouho nikde zadne reklamy nevidel (ale spousta stranek funguje az kdyz povolim javascript :-( )
Kdybyste chtel, mohu (privatne) poskytout skripty, ktere mam... kdyztak napiste do diskuze nejaky kontakt na Vas...
-
psát na takovéhle weby je sice dobrý nápad, ale ti zabedněnci na tyhle reakce uživatelů zvysoka kašlou