Firewall + Squid + SquidGuard + разграничение прав. (v 2.0)
-
Доброго времени суток. Прошу помощи в задаче закрытия доступа к сайтам. Ситуация следующая: есть 5 пользовательских машин, на которых нужно закрыть доступ из WAN ко всем сайтам, кроме 2-3, и один админский компьютер, которому такие ограничения не нужны. Причем хотелось бы закрыть даже попытки входящих соединений с не доверенной стороны. Локальная сеть без ограничений. Мои попытки сделать это только через фаервол ни к чему не привели — адреса в deny по-прежнему доступны. Через squid получилось закрыть по blacklist, но это совсем не то. А те мануалы, которыми руководствовался, понимания не дали. ???
-
Покажите, что у Вас уже сделано ? Настройки squid/squidGuard ?
Про "даже попытки входящих соединений" не совсем понятно. -
Ну так узнайте диапазон ай-пи этих 2-3 сайтов. Их разрешите по HTTP (HTTPS?) -му порту (ам) (Firewall-Rules-LAN ) и 53-и ТСП\ЮДП для разрешения имен. И всё. На кой Вам сквид-то для этих целей ?
-
Ну так узнайте диапазон ай-пи этих 2-3 сайтов. Их разрешите по HTTP (HTTPS?) -му порту (ам) (Firewall-Rules-LAN ) и 53-и ТСП\ЮДП для разрешения имен. И всё. На кой Вам сквид-то для этих целей ?
Тоже не понимаю, но посоветовали делать это именно через сквид.
Но как мне разграничить права, чтобы на админский компьютер они не распространялись, а на пользовательских, например, был открыт доступ только к диапазону 85.235.12.0—85.235.12.255
-
Ну так узнайте диапазон ай-пи этих 2-3 сайтов. Их разрешите по HTTP (HTTPS?) -му порту (ам) (Firewall-Rules-LAN ) и 53-и ТСП\ЮДП для разрешения имен. И всё. На кой Вам сквид-то для этих целей ?
Тоже не понимаю, но посоветовали делать это именно через сквид.
Но как мне разграничить права, чтобы на админский компьютер они не распространялись, а на пользовательских, например, был открыт доступ только к диапазону 85.235.12.0—85.235.12.255
Это можно сделать правилами файрвола без прокси.
-
Ну так узнайте диапазон ай-пи этих 2-3 сайтов. Их разрешите по HTTP (HTTPS?) -му порту (ам) (Firewall-Rules-LAN ) и 53-и ТСП\ЮДП для разрешения имен. И всё. На кой Вам сквид-то для этих целей ?
Тоже не понимаю, но посоветовали делать это именно через сквид.
Но как мне разграничить права, чтобы на админский компьютер они не распространялись, а на пользовательских, например, был открыт доступ только к диапазону 85.235.12.0—85.235.12.255
Это можно сделать правилами файрвола без прокси.
Если вас не затруднит, могли бы объяснить, какие пункты заполнять? Если я, к примеру, просто пытаюсь закрыть доступ к определенному сайту (budist.ru), адрес все равно доступен :(
-
Ну так узнайте диапазон ай-пи этих 2-3 сайтов. Их разрешите по HTTP (HTTPS?) -му порту (ам) (Firewall-Rules-LAN ) и 53-и ТСП\ЮДП для разрешения имен. И всё. На кой Вам сквид-то для этих целей ?
Тоже не понимаю, но посоветовали делать это именно через сквид.
Но как мне разграничить права, чтобы на админский компьютер они не распространялись, а на пользовательских, например, был открыт доступ только к диапазону 85.235.12.0—85.235.12.255
Это можно сделать правилами файрвола без прокси.
Если вас не затруднит, могли бы объяснить, какие пункты заполнять? Если я, к примеру, просто пытаюсь закрыть доступ к определенному сайту (budist.ru), адрес все равно доступен :(
Почти правильно )) Только наоборот! Этот адрес в Destination засунуть. А в Source ,если для всех, указать LAN subnet. Правило же для админа с доступом везде разместить самым первым.
P.s. И начните читать что-нибудь по основам сетей (( Pf все-таки продукт не для полных новичков. Никто необходимый минимум здесь разжевывать спецом для Вас не будет.
-
Ну так узнайте диапазон ай-пи этих 2-3 сайтов. Их разрешите по HTTP (HTTPS?) -му порту (ам) (Firewall-Rules-LAN ) и 53-и ТСП\ЮДП для разрешения имен. И всё. На кой Вам сквид-то для этих целей ?
Тоже не понимаю, но посоветовали делать это именно через сквид.
Но как мне разграничить права, чтобы на админский компьютер они не распространялись, а на пользовательских, например, был открыт доступ только к диапазону 85.235.12.0—85.235.12.255
Это можно сделать правилами файрвола без прокси.
Если вас не затруднит, могли бы объяснить, какие пункты заполнять? Если я, к примеру, просто пытаюсь закрыть доступ к определенному сайту (budist.ru), адрес все равно доступен :(
Почти правильно )) Только наоборот! Этот адрес в Destination засунуть. А в Source ,если для всех, указать LAN subnet. Правило же для админа с доступом везде разместить самым первым.
P.s. И начните читать что-нибудь по основам сетей (( Pf все-таки продукт не для полных новичков. Никто необходимый минимум здесь разжевывать спецом для Вас не будет.
Спасибо, все получилось, кроме одного — не могу верно задать диапазон. Создал два алиаса для source (для полного доступа (admins) и ограниченного(models)). Но диапазон для разрешенных сайтов пользователя составить не получается. Например, хочу позволить только переводчик Google, его диапазон, если верить Ip Lookup — 74.125.230.128–74.125.230.143. Добавляю 74.125.230.128\28 в Network алиаса разрешенных сайтов, указываю его в Destination для правила фаервола. Не пускает.
P.S. Если использую не диапазон, а, допустим, только один ip-адрес, то все в порядке, кроме того, что время открытие сайта значительно увеличивается.
-
Для DNS то зачем такое правило? DNS должно быть разрешено для всех и всегда. Поэтому медленно открывается.
-
А TCP\UDP для 80-го и 443-го портов-то зачем ??!! Только TCP!
P.s. Все таки начните читать доку по сетям. Такая очевидная неграмотность просто коробит >:(
-
Например, хочу позволить только переводчик Google, его диапазон, если верить Ip Lookup — 74.125.230.128–74.125.230.143. Добавляю 74.125.230.128\28 в Network алиаса разрешенных сайтов, указываю его в Destination для правила фаервола. Не пускает.
Гугл переводчик можно использовать приблизительно также как ананимайзеры и прокси. Открыв переводчик, вы открываете все сайты.