SQUID и CITRIX
-
На citrix ходят на определённый IP (IP range)?
Хочешь резануть весь интернет?Я понимаю что на определнный IP. но на порт то 80, может просто как то создать правило которое будет пропускать адрес цитрикса на нужный адрес а не на локалхост прокси?!
Нет не весь, просто поотрубать часть сайтов которыми они пользуются. Блэк листы искать не стал, решил что бы LightSquid собрал статистику их похождений и самому закрыть доступ, а потом по мере сбора статистики прикрывать дальше(именно поэтому надо что бы постоянно Squid собирал статистику), тем более самые популярные и так известны, Однокласники и вконтакте + сайты знакомств. Но с этим Цитриксом все пошло на перекосяк, а так хочется сделат гадость для сотрудников и счастье для себя.Заранее спасибо
-
Какая версия pfSense?
Что за правило НАТ которое заворачивает на прокси?
Прокси не прозрачный? Тогда смысл правила НАТ?В вашем случае достаточно сделать разрешающее правило для прохождения трафика по 80 портe только на сервера CITRIX, остальные пусть идут и настраивают http/https/ftp через непрозрачный прокси pfSenseIP:3128. Если лениво - добавить в корень WWW сервера WPDA.DAT и прописать автоопределение прокси у всех клиентов. В любом случае, кроме как через прокси в инет они не попадут.
-
Для ясности, расскажу как было
Поставил Pfsense 1.2.3
Поставил Squid и Lightsquid
Сделал в Nat правило все кто идет через 80 порт заворачивают на 127.0.0.1 (тут на форуме тема была оттуда и брал)"сделать разрешающее правило для прохождения трафика по 80 портe только на сервера CITRIX" - нет интернет нужен, но не весь, а так получается что все закрыто только Citrix открыт, не подходит так
Заранее спасибо.
-
нет интернет нужен, но не весь, а так получается что все закрыто только Citrix открыт, не подходит так
Поясните что значит интернет нужен, но не весь? И тут-же вы заворачиваете его на сквид..
Сквид и даст Вам интернет, но контролируемый. Мимо него пройдет только трафик на Citrix... а, ну конечно
Сквид и многие другие пакеты в pfSense не требуют отдельных разрешающих пользовательских правил.
Вы не можете контролировать доступ к squid своими правилами. Это делается средствами squid/squidGuard. -
нет интернет нужен, но не весь, а так получается что все закрыто только Citrix открыт, не подходит так
Поясните что значит интернет нужен, но не весь? И тут-же вы заворачиваете его на сквид..
Сквид и даст Вам интернет, но контролируемый. Мимо него пройдет только трафик на Citrix... а, ну конечно
Сквид и многие другие пакеты в pfSense не требуют отдельных разрешающих пользовательских правил.
Вы не можете контролировать доступ к squid своими правилами. Это делается средствами squid/squidGuard.Тоесть доставлять squidGuard и ковырять там уже, я правильно понял ?! В принципе мне нужна схема такая люди себе ходят в интернет. слушают онлайн радио смотрять разные страницы, но как только начинают перегибать, то я перекрываю им кислород на перечень сайтов и они сидят целый день занимаются работой, ну или делают вид что работают )) спасибо за подсказку буду сейчас смотреть
-
как же "все заработают" с воплями нужный для "работы" не открывается к тебе придут ;D
-
как же "все заработают" с воплями нужный для "работы" не открывается к тебе придут ;D
Хочу посмотреть как они пойдут служебки катать ген директору, содержания типа Прошу включить мне loveplanet потому что у меня так ведется активный поиск клиентов ))) А Генеральный у нас строгий мужик ) Просто мой начальник не сильно рвется этим заниматься, а меня кумарит когда из-за одного идиота не работает касса, потому что канала не хватает.
-
как же "все заработают" с воплями нужный для "работы" не открывается к тебе придут ;D
Просто мой начальник не сильно рвется этим заниматься, а меня кумарит когда из-за одного идиота не работает касса, потому что канала не хватает.
В сквиде ограничьте общую скорость на HTTP и для отдельно на одного юзера. На цитрикс это не повлияет.
-
Что то я не понял что там в SquidGuarde настроить, что бы Citrix заработал
-
В вашем случае достаточно сделать разрешающее правило для прохождения трафика по 80 портe только на сервера CITRIX, остальные пусть идут и настраивают http/https/ftp через непрозрачный прокси pfSenseIP:3128. Если лениво - добавить в корень WWW сервера WPDA.DAT и прописать автоопределение прокси у всех клиентов. В любом случае, кроме как через прокси в инет они не попадут.
Цитрикс Вы разрешаете в правилах файрвола путем открытия 80 порта только на адрес Цитрикс сервера. Остальной же интернет по 80 порту по прежнему напрямую недоступен. Весь остальной HTTP должен работать через сервис squid, который управляет только протоколом HTTP (s).