Как заблокировать некоторые сайты при подключении через VPN?

Question

[Nutelka]

Настраиваю VPN-сервер на VLESS + Reality через 3x-ui. Нужно заблокировать доступ к ряду сайтов для подключённых пользователей. Блокировка через 3x-ui не помогла. Подскажите рабочее решение.

Answer 1

[Антон Аникин]

Все работает через 3xui. Сниффинг не забыли включить на входящем подключении там?

Comments

[Nutelka]

включен, но все равно есть доступ

Answer 2

[Drno]

Настройки > маршрутизаций > добавить Domain Outbound Block

Comments

[Nutelka]

не помогает (если я конечно правильно понял ваш ответ)

[Drno]

Nutelka, вроде правильно
а включен sniffing в настройках входящего подключения? все протоколы

[Nutelka]

Drno, выключен, но после включения все равно есть доступ к сайту

[Deftt]

Странно что у мебя с первого раза все получилось и 2ip перестал открываться. Панель какая версия? На 2.6.1 все работает

[Nutelka]

Deftt, я не понимаю, почему оно не работает
https://youtu.be/KWVscXbLB-w

Answer 3

[Dupych]

На маршрутизаторе добавляешь DNS
www.intel.com - 127.0.0.1 для примера
Естественно всем DNS раздать указывая свой маршрутизатор а не 8888
Если микрот, то просто. Правило в фаерволе на адреслист Blocked_Sites.

Comments

[Nutelka]

мне нужно, чтобы сайты блокировались для всех, кто подключается к моему VPN, а не локально через маршрутизатор

[Hardoman]

На vpn хосте запрещаешь резолвинг для определённых хостов, например, просто добавив их в /etc/hosts с ip 127.0.0.1

Для запрета доступа по IP адресам назначения просто добавляешь в route маршрут для них с в lo интерфейс
Так они не уйдут никуда

Если нужно более гранулярно, то через iptables для определённых vpn адресов источника запрещаешь определённые ip адреса назначения.

И не нужно никакого доп софта

[Nutelka]

Hardoman, Благодарю. Проблема в том, что у меня VLESS + Reality, и трафик не идёт через tun, у клиентов нет отдельных IP, всё приходит через сокет.
Потому route и iptables по IP не работают, /etc/hosts не влияет.
Думаю идти в сторону DNS hijack или локального фильтрующего DNS, но надо еще разобраться как оно работает и поможет ли оно мне.

[Hardoman]

Nutelka, ок, даже если у клиентов нет своего ip, запретить для всех через iptables, hosts файл или маршруту по-прежнему реально

Потому что vless все равно резолвит все, абсолютно все запросы сначала через hosts, а потом через DNS и отдаёт в сервис. Эти сетевые службы работают на более низком уровне и обслуживают более верхние протоколы.
iptables вообще работает на сетевом уровне модели osi, и ему пофиг от какого прикладного протокола приходят пакеты.
Для него это vless все равно, что http, разницы нет

[Nutelka]

Hardoman, Да, iptables и /etc/hosts работают на нижнем уровне.
Но я уже пробовал добавить домен в /etc/hosts, он не сработал, потому что клиент сам резолвит у себя и стучится сразу по IP.
В таком случае /etc/hosts на сервере не участвует, и блокировка не срабатывает.
С iptables тоже можно, но тогда нужно знать IP-назначения, что очень запарно. Пропинговав 2ip.ru, я не смог заблокировать его по ip, но вот уже 2ip.io получилось, но я все таки хочу найти возможность блокировки по доменам.
использовал эти команды для блокировки 2ip.io:
iptables -A OUTPUT -d 188.40.167.81 -j DROP
iptables -A FORWARD -d 188.40.167.81 -j DROP

[Hardoman]

Nutelka, все верно.
Вы можете (должны) заставить клиента использовать ваш DNS
И второе - для большинства крупных ресурсов отдаётся не один адрес, а несколько.
Кроме того, для популярных ресурсов типа ютуб/инста и пр будет большой сабнет. Его можно заблокировать целиком.
Также, если целевой сайт за cloudflare, то вам и клиенту могут возвращаться разные IP CF, в зависимости от региона.
Поэтому надо блокировать все :)

[Nutelka]

Hardoman, я вот пробовал перехватывать днс запросы на сервере через dnsmasq, но у меня ничего не получилось. Буду благодарен, если расскажете как это можно сделать

[Hardoman]

Nutelka, я бы не стал ничего перехватывать.
Nslookup тех сайтов, которые вы хотите заблокировать, ко всем популярным DNS и получаете результат.
https://dnschecker.org/all-dns-records-of-domain.php

Готовые сабнеты популярных порталов и сервисов можно посмотреть тут https://iplist.opencck.org/

[Nutelka]

Hardoman, можно пожалуйста гайд, что делать с этой информацией.

[Hardoman]

Nutelka, все, что вы и делали. Узнать список ip адресов и сабнетов, котрвие хотите заблокировать и через iptables их запретить.
Я просто перечислил, откуда вытащить информацию по IP адресам вместо перехвата

[Nutelka]

Hardoman, не сомневаюсь, что это сработает, но как мне заблокировать сразу например тысячу айпишников ютуба?

[Hardoman]

Nutelka, по сабнету