Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Squid и правила файервола

    Scheduled Pinned Locked Moved Russian
    4 Posts 2 Posters 2.7k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • A
      aka_daemon
      last edited by

      Добрый день.

      Установлено pfsense2.1+squid3(не прозрачный, порт 3128)+squidguard3.
      Для того, чтобы пользователи ходили через прокси, создано правило:

      источник - любой, порт - любой –------ назначение - LanNet, порт - любой.

      Я так понял, что данное правило выпускает пользователей в инет по порту 3128
      Проверяю работу icq, подключение не проходит.
      Так понимаю,  что все остальные сервисы(icq, pop, smtp и прочие протоколы) необходимо пустить через NAT.
      Создаю след. правило в закладке LAN:

      источник - LanNet, порт - любой –------ назначение - любое, порт - 5190

      Подключение проходит. Корректно ли данное правило?

      И второй вопрос по squidguard.
      В groups acl создаю две группы - admins и users, в поле client указываю ip адреса, кто к какой группе относится, в target rules указываю категории на блокировку.
      Все работает все прекрасно, но встала необходимость блокировать скачку и просмотр медиаконтента.
      В Target categories, создаю два правила:

      blockmusic, рег. выражения - (..(aac|aiff|aob|asf|aud|bin|bwg|cdr|flac|iff|m3u|m3u8|m4a|m4p|m4r|mod|mp3|mpa|msv|mts|nkc|ogg|ps|wav|wm|wma))
      blockvideo, рег. выражения  - (.      .(3g2|3gp|3gp2|3gpp|3gpp2|asf|avi|bin|dat|f4v|flv|gtp|m4v|mod|mov|mp4|mpeg|mpg|mts|rm|spl|srt|swf|vob|wm|wmv))

      Группе admins указываю в target rules, блокировать blockvideo и еще несколько категорий.
      Группе users указываю в target rules, блокировать blockvideo, blockmusic и еще несколько категорий.
      Все сохраняю, применяю.
      И вот для группы админов не блокируется просмотр видео(проверял на youtube)
      Где может быть ошибка или что не настроил?

      1 Reply Last reply Reply Quote 0
      • D
        dvserg
        last edited by

        Для того, чтобы пользователи ходили через прокси, создано правило:
        источник - любой, порт - любой –------ назначение - LanNet, порт - любой.

        Не нужно ничего создавать, для прокси всё уже сделано разработчиками.

        Я так понял, что данное правило выпускает пользователей в инет по порту 3128
        Проверяю работу icq, подключение не проходит.
        Так понимаю,  что все остальные сервисы(icq, pop, smtp и прочие протоколы) необходимо пустить через NAT.
        Создаю след. правило в закладке LAN:

        источник - LanNet, порт - любой –------ назначение - любое, порт - 5190

        В принципе да, но squid можно настроить и на использование SOCKS для других протоколов (если есть смысл)
        Для ICQ есть свой прокси-пакет IMSpector

        Группе admins указываю в target rules, блокировать blockvideo и еще несколько категорий.
        Группе users указываю в target rules, блокировать blockvideo, blockmusic и еще несколько категорий.
        Все сохраняю, применяю.
        И вот для группы админов не блокируется просмотр видео(проверял на youtube)
        Где может быть ошибка или что не настроил?

        Ютуб - это потоковое видео, никак не файл (по его расширению). Нужно блокировать URL Ютуба или его часть, отвечающую за передачу контента.

        SquidGuardDoc EN  RU Tutorial
        Localization ru_PFSense

        1 Reply Last reply Reply Quote 0
        • A
          aka_daemon
          last edited by

          Установил IMspector, icq тоже заработал.
          Но все таки, можно ли обойтись таким правилом без IMspector? и правильное ли оно с точки зрения корректности?
          источник - LanNet, порт - любой –------ назначение - любое, порт - 5190

          На основе этого правила, сделал правила для pop(110) и smtp(25), почта тоже стала приниматься и отсылаться, до этого происходила блокировка.

          Ютуб - это потоковое видео, никак не файл (по его расширению)

          Когда проигрываю какой либо ролик, даже не обязательно на ютубе, в логах squidguard вижу что идёт обращение к файлу с расширением swf, avi и прочее, что связано с видео.
          Все таки, как заставить работать рег. выражения?

          1 Reply Last reply Reply Quote 0
          • D
            dvserg
            last edited by

            @aka_daemon:

            Установил IMspector, icq тоже заработал.
            Но все таки, можно ли обойтись таким правилом без IMspector? и правильное ли оно с точки зрения корректности?
            источник - LanNet, порт - любой –------ назначение - любое, порт - 5190

            На основе этого правила, сделал правила для pop(110) и smtp(25), почта тоже стала приниматься и отсылаться, до этого происходила блокировка.

            Ютуб - это потоковое видео, никак не файл (по его расширению)

            Когда проигрываю какой либо ролик, даже не обязательно на ютубе, в логах squidguard вижу что идёт обращение к файлу с расширением swf, avi и прочее, что связано с видео.
            Все таки, как заставить работать рег. выражения?

            1. Да, конечно можно. Просто речь была о прокси, можно и без.
            2. SWF это флеш как таковой вообще. Для Ютуба тогда лучше блокировать его вместе с частью URL. Посмотрите регулярные выражения здесь http://iskatel.hut4.ru/index.php/ru/pfsense/85-stati/packages/pfsense-packages-squidguard.
            Вот кусок пути + расширение
            (download|downloads|file|files|image|picture|flash).*.(exe|dll|wav|gif|zip|tar)

            SquidGuardDoc EN  RU Tutorial
            Localization ru_PFSense

            1 Reply Last reply Reply Quote 0
            • First post
              Last post
            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.