Firewall + Squid + SquidGuard + разграничение прав. (v 2.0)

dvserg

Покажите, что у Вас уже сделано ? Настройки squid/squidGuard ?
Про "даже попытки входящих соединений" не совсем понятно.

werter

Ну так узнайте диапазон ай-пи этих 2-3 сайтов. Их разрешите по HTTP (HTTPS?) -му порту (ам) (Firewall-Rules-LAN ) и 53-и ТСП\ЮДП для разрешения имен. И всё. На кой Вам сквид-то для этих целей ?

Realetive

@werter:

Ну так узнайте диапазон ай-пи этих 2-3 сайтов. Их разрешите по HTTP (HTTPS?) -му порту (ам) (Firewall-Rules-LAN ) и 53-и ТСП\ЮДП для разрешения имен. И всё. На кой Вам сквид-то для этих целей ?

Тоже не понимаю, но посоветовали делать это именно через сквид.

Но как мне разграничить права, чтобы на админский компьютер они не распространялись, а на пользовательских, например, был открыт доступ только к диапазону 85.235.12.0—85.235.12.255

dvserg

@Realetive:

@werter:

Ну так узнайте диапазон ай-пи этих 2-3 сайтов. Их разрешите по HTTP (HTTPS?) -му порту (ам) (Firewall-Rules-LAN ) и 53-и ТСП\ЮДП для разрешения имен. И всё. На кой Вам сквид-то для этих целей ?

Тоже не понимаю, но посоветовали делать это именно через сквид.

Но как мне разграничить права, чтобы на админский компьютер они не распространялись, а на пользовательских, например, был открыт доступ только к диапазону 85.235.12.0—85.235.12.255

Это можно сделать правилами файрвола без прокси.

Realetive

@dvserg:

@Realetive:

@werter:

Ну так узнайте диапазон ай-пи этих 2-3 сайтов. Их разрешите по HTTP (HTTPS?) -му порту (ам) (Firewall-Rules-LAN ) и 53-и ТСП\ЮДП для разрешения имен. И всё. На кой Вам сквид-то для этих целей ?

Тоже не понимаю, но посоветовали делать это именно через сквид.

Но как мне разграничить права, чтобы на админский компьютер они не распространялись, а на пользовательских, например, был открыт доступ только к диапазону 85.235.12.0—85.235.12.255

Это можно сделать правилами файрвола без прокси.

Если вас не затруднит, могли бы объяснить, какие пункты заполнять? Если я, к примеру, просто пытаюсь закрыть доступ к определенному сайту (budist.ru), адрес все равно доступен :(

??????.JPG
??????.JPG_thumb

werter

@Realetive:

@dvserg:

@Realetive:

@werter:

Ну так узнайте диапазон ай-пи этих 2-3 сайтов. Их разрешите по HTTP (HTTPS?) -му порту (ам) (Firewall-Rules-LAN ) и 53-и ТСП\ЮДП для разрешения имен. И всё. На кой Вам сквид-то для этих целей ?

Тоже не понимаю, но посоветовали делать это именно через сквид.

Но как мне разграничить права, чтобы на админский компьютер они не распространялись, а на пользовательских, например, был открыт доступ только к диапазону 85.235.12.0—85.235.12.255

Это можно сделать правилами файрвола без прокси.

Если вас не затруднит, могли бы объяснить, какие пункты заполнять? Если я, к примеру, просто пытаюсь закрыть доступ к определенному сайту (budist.ru), адрес все равно доступен :(

Почти правильно )) Только наоборот! Этот адрес в Destination засунуть. А в Source ,если для всех, указать LAN subnet. Правило же для админа с доступом везде разместить самым первым.

P.s. И начните читать что-нибудь по основам сетей (( Pf все-таки продукт не для полных новичков. Никто необходимый минимум здесь разжевывать спецом для Вас не будет.

Realetive

@werter:

@Realetive:

@dvserg:

@Realetive:

@werter:

Ну так узнайте диапазон ай-пи этих 2-3 сайтов. Их разрешите по HTTP (HTTPS?) -му порту (ам) (Firewall-Rules-LAN ) и 53-и ТСП\ЮДП для разрешения имен. И всё. На кой Вам сквид-то для этих целей ?

Тоже не понимаю, но посоветовали делать это именно через сквид.

Но как мне разграничить права, чтобы на админский компьютер они не распространялись, а на пользовательских, например, был открыт доступ только к диапазону 85.235.12.0—85.235.12.255

Это можно сделать правилами файрвола без прокси.

Если вас не затруднит, могли бы объяснить, какие пункты заполнять? Если я, к примеру, просто пытаюсь закрыть доступ к определенному сайту (budist.ru), адрес все равно доступен :(

Почти правильно )) Только наоборот! Этот адрес в Destination засунуть. А в Source ,если для всех, указать LAN subnet. Правило же для админа с доступом везде разместить самым первым.

P.s. И начните читать что-нибудь по основам сетей (( Pf все-таки продукт не для полных новичков. Никто необходимый минимум здесь разжевывать спецом для Вас не будет.

Спасибо, все получилось, кроме одного — не могу верно задать диапазон. Создал два алиаса для source (для полного доступа (admins) и ограниченного(models)). Но диапазон для разрешенных сайтов пользователя составить не получается. Например, хочу позволить только переводчик Google, его диапазон, если верить Ip Lookup — 74.125.230.128–74.125.230.143. Добавляю 74.125.230.128\28 в Network алиаса разрешенных сайтов, указываю его в Destination для правила фаервола. Не пускает.
P.S. Если использую не диапазон, а, допустим, только один ip-адрес, то все в порядке, кроме того, что время открытие сайта значительно увеличивается.

??????.JPG
??????.JPG_thumb
??????2.JPG
??????2.JPG_thumb

dvserg

Для DNS то зачем такое правило? DNS должно быть разрешено для всех и всегда. Поэтому медленно открывается.

werter

А TCP\UDP для 80-го и 443-го портов-то зачем ??!! Только TCP!

P.s. Все таки начните читать доку по сетям. Такая очевидная неграмотность просто коробит >:(

dr.gopher

@Realetive:

Например, хочу позволить только переводчик Google, его диапазон, если верить Ip Lookup — 74.125.230.128–74.125.230.143. Добавляю 74.125.230.128\28 в Network алиаса разрешенных сайтов, указываю его в Destination для правила фаервола. Не пускает.

Гугл переводчик можно использовать приблизительно также как ананимайзеры и прокси. Открыв переводчик, вы открываете все сайты.