Проверка лицензии AutoCAD через Proxy.
-
@werter спасибо за помощь, в сквиде из белого списка удалил все, спасибо за шпаргалку, да нажимаю Apply в Squidguard-е, в настройках SystemAdvancedAdmin Access протокол https, сквид настроен как непрозрачный, в настройках сквида в параметре Transparent HTTP Proxy у меня галочка не стоит, но и руками я не прописываю ни где адрес и порт прокси, я так думаю где то в GPO прописан адрес и порт прокси так как они автоматом у пользователя прописываются в свойствах браузера. Добавляю в Squidguard-е как вы описали:
.autodesk.com/.
.newrelic.com/.
.nr-data.net/.опять начинает ругаться при сохранении "не является URL-адресом"
-
Доброго.
https://datalogus.blogspot.com/2016/06/pfsense-231-security-explicit-squid_16.html
go to Services > SquidGuard Proxy Filter > Target Categories. Add a CustomDeny category then place the domains you want to block manually in the Domain List box. Then put "proxy|.exe|.mp4|\torrent" in the Regular Expression box to block sites with proxy or torrent in the url as well as block downloading of files ending with .exe or .mp4. extensions. Tick the Log option at the bottom to log denies made through this category then Save the custom category. You can also do this again to create your own custom whitelist or any category that you may require.
Адаптируйте под себя по аналогии (разрешив, ес-но) с выше написанным.
И со слов PROXY Bypass почитайте.P.s. Слушайте, Вам только Domain List должно хватить. В Domain List попробуйте обобщить все, что касается autodesk, оставив только autodesk.com и остальные другие. Поставьте эту категорию выше всех в настройках . Нажимать Apply не забывать!
P.s2. Как настраивать прокси для автокада https://knowledge.autodesk.com/search-result/caas/sfdcarticles/sfdcarticles/Subscription-Licensing-Error-Establish-an-Internet-connection-to-continue-due-to-internet-proxy-server-configuration.html
-
@werter добрый день! не совсем понял вас "поставьте эту категорию выше всех в настройках" имеется в виду в Proxy filter SquidGuard: Target categoriesTarget categories ? но они там по порядку идут созданные категории, как выше поставить? когда оставляю в Domain List только autodesk.com этого не хватает, AutoCAD встает на проверке лицензии, сейчас добавил в Свойствах браузера в исключения *.autodesk.com, буду тестировать.
-
создал правило на LAN с autodesk.com, работает.
-
Добрый.
создал правило на LAN с autodesk.com, работает.
Возможно, что все, что в https://knowledge.autodesk.com/search-result/caas/sfdcarticles/sfdcarticles/Subscription-Licensing-Error-Establish-an-Internet-connection-to-continue-due-to-internet-proxy-server-configuration.html прописано в исключениях для прокси Вам и добавлять на ЛАН, а не только autodesk.com.
Создайте алиас типа autodesk_license, накидайте туда адресов, создайте правило на ЛАН и пробуйте.
-
@werter так и сделал.
-
Добрый.
Рекомендую принудительно завернуть все DNS-запросы (TCP\UDP 53) от клиентов на адрес пф.
Иначе получится, что хосты из алиаса autodesk_license у клиента будут иметь др. ip-адреса. И фокус не удастся.nslookup -q=A autodesk.com 8.8.8.8 Addresses: 50.19.197.211 , 52.4.203.6Тоже самое рекомендую и для NTP (UDP\123).
-
@werter здравствуйте! вы были правы, сейчас ничего не работает, нужно правило на LAN? если я правильно понял это должно выглядеть так?
-
Добрый.
@guf-rolex-x
Это скрин правила fw или port forward?Если касаемо "завернуть все DNS-запросы (TCP\UDP 53) от клиентов на адрес пф", то у меня так:
И fw на LAN:
На пф вкл. NTP-сервер. И сбросить днс-кеш на клиентах (ipconfig /flusdns от Админ-а)
Однако, не уверен, что у вас проблема только в этом. Может что-то быть и с настройками squid.
-
@werter добрый день! да это правило Firewall/Rules/LAN, у вас в port forward Dest.Address указано ! LAN address - это что альяс? почему с восклицательным знаком впереди? и еще вопрос в fw на LAN нужно дополнительно добавлять правило, на скрине под вопросом?
сделал так же как у вас на скринах. -
Добрый.
@Guf-Rolex-X! = NOT
Правила с вопросом на скрине выше разрешают доступ к ЛАН-адресу пф по портам DNS и NTP. Возможно, что они не нужны - это легко проверить просто отключив их.
Читайте книгу понемногу. В ней есть ответы.
-
@werter "читайте книгу понемногу" имеется в виду The pfSense Book которая в документации на netgate? не как не могу понять что значит ! LAN address, что значит НЕ, случаем не No RDR (NOT) ? (Disable redirection for traffic matching this rule), но если поставить галочку у меня не появляется восклицательного знака, или это зависит от версии pf.
-
@guf-rolex-x said in Проверка лицензии AutoCAD через Proxy.:
не как не могу понять что значит ! LAN address,
! = NOT - очень удобная штука, позволяющая одним правилом заменить многие.
Пример 1:
BLOCK IPv4 * 10.11.11.84 * ! DVRs * * none
Смысл правила:
Для IP 10.11.11.84 блокируется доступ ко всему, кроме IP, входящих в алиас DVRs.
Без ! пришлось бы создать 2 правила:- Разрешающего доступ к DVRs
- Запрещающего все остальное.
Пример 2:
BLOCK IPv4 * 192.168.70.0/24 * ! 192.168.0.0/24 * * none
Смысл правила:
Для сети 192.168.70.0/24 запрещен доступ везде, кроме сети 192.168.0.0/24 -
@pigbrother смыл правил понятен, как вы знак восклицательный в правилах ставите?
-
@guf-rolex-x said in Проверка лицензии AutoCAD через Proxy.:
как вы знак восклицательный в правилах ставите?
! - просто общепринятое обозначение инверсии. PF отображает ! при выборе Invert match в правиле.
