Заблокировать ресурсы на определенное вр

D_Sergeevich · Jan 24, 2017, 8:15 PM

Приветствую.
pfSense 2.1
squid3 3.1.20 pkg 2.1.4
squidGuard-squid3 1.4_4 pkg v1.9.16
Есть диапазон ip, им разрешен доступ в интернет с 12:00 - 17:00. Доступ полный!
Теперь задача: этому же диапазону запретить заходить в соц сети с 13:00 - 17:00
Но как если диапазон ip адресов будет перекрываться в разных ACL ?

ВАЖНО: Многие делают ошибки настраивая несколько ACL на одну и ту же группу пользователей с применением разных списков времени. ЭТО работать НЕ БУДЕТ! Только один ACL + Time на каждую группу пользователей.

Вроде задача тривиальна, но как такое решить?

Спасибо!

NiXeon · Jan 25, 2017, 5:02 AM

У меня сделано так:
1. Сначала в Squid Guard создал время, которое считается рабочим (8-12, 13-17), с 12 до 13 окно, т.к. обеденное время.
2. Затем в Target categories забил то, что хочу заблокировать
3. Потом в Groups ACL создал группу пользователей в которой обозначил самих пользователей, в поле Time завел ранее созданное время, там же в разделе Target Rules List определил действия для разных Target categories в случае если попадает в это время, и в случае если не попадает (это у меня обед и выходные).

У меня категория "Block", у тебя может называться как угодно, например "social_net", а в ней будут соцсети. Можно вроде бы сделать иначе, используя онлайн список, который автоматически обновляется - наподобие Blacklist, только для разных групп и времени, но я в этом направлении копал больше года назад, сейчас уже не помню что и как.

Принцип работы действительно тривиален: если текущее время совпадает с ранее введенным диапазоном (work_time), то определенная категория (block) будет блокироваться, т.к. определено действие "deny", а в остальное время (off time) доступ будет разрешен.

Наглядно что у меня тут во вложении

D_Sergeevich · Jan 25, 2017, 6:57 PM

Ну у Вас все понятно, у вас не пересекается время допустим доступа в интернет и время доступа к соц сетям.
Яж не могу в одном ACL разным "Target Categories" назначить разное время работы.

Вот на скрине: с 8:00-12:00 интернет запрещен полностью и соц сети (Block_Url) тоже. После 12:00 интернет появляется и доступ к соц сетям тоже. И теперь мне нужно чтобы доступ к соц сетям был только до 13:00 т.е. получается для интернета весь промежуток а для соц сетей только часть т.е. они пересекаются. Как это развести?

И вопрос не по теме, что это за интерфейс у вас новый?

werter · Jan 25, 2017, 7:52 PM

Вот на скрине: с 8:00-12:00 интернет запрещен полностью и соц сети (Block_Url) тоже.

А зачем блокировать полный доступ в Сеть с пом сквида ? Блокируйте с пом. fw на LAN. Зачем велосипедничать ?

P.s. Кстати. Доступ к соц. сетям также можно блокировать (внезапно!) … с пом. правил fw.

D_Sergeevich · Jan 25, 2017, 8:59 PM

@werter:

Вот на скрине: с 8:00-12:00 интернет запрещен полностью и соц сети (Block_Url) тоже.

А зачем блокировать полный доступ в Сеть с пом сквида ? Блокируйте с пом. fw на LAN. Зачем велосипедничать ?

P.s. Кстати. Доступ к соц. сетям также можно блокировать (внезапно!) … с пом. правил fw.

Ну как бы я не так выразился. Блокируется полностью интернет за исключением группы Allow_Url
Да и к тому же fw - это же постоянное правило, его же нельзя привязать к времени?

NiXeon · Jan 26, 2017, 5:31 AM

@D_Sergeevich:

Ну у Вас все понятно, у вас не пересекается время допустим доступа в интернет и время доступа к соц сетям.

А, в этом случае мне довольно сложно додумать до адекватного решения. Можно использовать правила FW, как написал werter, но как я понял, нужно использовать schedule, и явный минус в том, что нужно каждый месяц определять для этого, и нельзя просто по дням недели не привязанным к определенной дате. Если нет другого способа, то это костыль еще больше.

В times squidguard'a я предлагаю использовать период 12-13 так:

time: 12:00 - 13:00

[Block_Url] Default access [allow] [Block_Url] Default access for offtime [deny]

В Common acl разрешить интернет
Default access [allow]

И либо смириться с тем, что и до 12 пользователи используют интернет (без соц.сетей), либо использовать вариант с fw и schedule, либо найти другой способ, о котором я, к сожалению, не знаю.

Кстати, можно попробовать добавить в Groups ACL еще одну группу с теми же пользователями, и использовать для нее еще один отдельный time, но я не уверен как в этом случае будет работать. Технически это другая группа, но фактически те же пользователи, поэтому неизвестно как сработает это правило: Только один ACL + Time на каждую группу пользователей.

@D_Sergeevich:

И вопрос не по теме, что это за интерфейс у вас новый?

Просто выбрал цветовую схему "pfSense" по адресу System -> General Setup в разделе webConfigurator

werter · Jan 26, 2017, 1:06 PM

Доброе

Да и к тому же fw - это же постоянное правило, его же нельзя привязать к времени?

Можно.

D_Sergeevich · Jan 26, 2017, 3:28 PM

@NiXeon:

Кстати, можно попробовать добавить в Groups ACL еще одну группу с теми же пользователями, и использовать для нее еще один отдельный time, но я не уверен как в этом случае будет работать. Технически это другая группа, но фактически те же пользователи, поэтому неизвестно как сработает это правило: Только один ACL + Time на каждую группу пользователей.

Просто выбрал цветовую схему "pfSense" по адресу System -> General Setup в разделе webConfigurator

Создавал я уже еще одну группу. В итоге срабатывает только первая.
А на счет цветовой схемы - у меня такой нету. Какая версия pfsense?

NiXeon · Jan 27, 2017, 9:40 AM

Ну, тогда другого решения не знаю, помимо тех, что я предложил :)

А версия pfsense 2.3.2-RELEASE-p1