Блокировка инета на машинах
-
Здравствуйте ув. форумчане. Помогите разобраться с настройкой pfsense. Задача следующая, необходимо на некоторых машинах запретить 80 и 443 порт, но при этом оставить открытый доступ на пару сайтов по 80 порту. Установлен Squid+Lightsquid+SquidGuard.
-
так в настройках фаервола (Firewall: Rules ) первым, вторым правилом для группы машин (создай алиас) разреши "пару сайтов", а третьим запрети им все.
в принципе для твоего счастья Squid+Lightsquid+SquidGuard вроде как и не нужен, если только на будущее. -
Создал правило запрещающее 80 порт на машинах, но оно не срабатывает
-
1. Покажите ваш алиас ip
2. Сквид установлен? -
-
2. Сквид установлен
В нем и проблема.
P.s. Вы заблокировали лишь 1 (один) IP-адрес. Читать - http://habrahabr.ru/post/217585/
-
P.s. Вы заблокировали лишь 1 (один) IP-адрес.
Да, я в тестовых целях решил проверить на одном IP. Решил запретить ему 80 порт. Но данное правило на него не действует.
P.S. Нашел как запретить 80 порт в Сквиде Access control. Но тогда не открывается доступ на необходимый сайт
-
Поставь это правило первым (самым верхним)
-
Поставь это правило первым (самым верхним)
Оно и так стоит самым первым помимо проброса портов (80,443,22). Стандартное правило.
-
А по-моему это правило, разрешающее все соединения для LAN на 80,443 и 22 порту, оно и разрешает всем доступ, а ваше правило после него
-
А по-моему это правило, разрешающее все соединения для LAN на 80,443 и 22 порту, оно и разрешает всем доступ, а ваше правило после него
Насколько я знаю это идет стандартное правило, и выше него нельзя поставить никакое правило. Возможно я конечно не понимаю еще в данном моменте.
-
2. Сквид установлен
В нем и проблема.Между строк читаем?
-
2. Сквид установлен
В нем и проблема.Между строк читаем?
я понял что проблема в нем, как правильно его настроить на данное правило?
-
Трафик идущий через squid невозможно ограничить правилами firewall. Ковыряйте target categories в squidguard, там есть регулярные выражения, которые в принципе могут помочь.
-
P.s. Вы заблокировали лишь 1 (один) IP-адрес.
Да, я в тестовых целях решил проверить на одном IP. Решил запретить ему 80 порт. Но данное правило на него не действует.
P.S. Нашел как запретить 80 порт в Сквиде Access control. Но тогда не открывается доступ на необходимый сайт
В сквидгарде в Proxy filter SquidGuard: Target categories делаете категорию "имя_категории" где прописываете нужные сайты. Далее в группе или для этого IP адреса указываете поведение для этой группы - whitelist, тогда открываться будет только то, что будет прописано в категории для белого списка.
![????? ??????01.jpg](/public/imported_attachments/1/????? ??????01.jpg)
![????? ??????01.jpg_thumb](/public/imported_attachments/1/????? ??????01.jpg_thumb) -
Спасибо за помощь, вроде разобрался