Правила файервола при установленном Squid



  • Доброго времи суток.

    У меня такая проблема, настроил выход в интернет через pfSense (192.168.1.5) из локальной сети с контроллером домена на Win2003.

    Прописав все нужные правила в файрволе, настроив ipsec канал с удалённым офисом остался доволен системой, решил установить squid и LightSquid для отчётов о трафике.

    Всё отлично, теперь можно просмотреть кто куда ходил и что скачивал, но теперь как я понимаю трафик по http порту идёт через squid, иначе говоря через 192.168.1.5, через порт 3128.

    Соответственно, чтобы ограничить доступ в интернет  скажем локальному пк с адресом 192.168.1.111 я создаю следующее правило в файерволе pfSense:

    192.168.1.111 -> 192.168.1.5(шлюз):3128 – block  
    И при этом доступ в интернет от заданного компьютера у меня почему то не блокируется,
    Получается что при работе через прокси сервер правила файервола не применяются для указанного порта?  Или я что-то не донастроил?

    PS: до ввода в действие squid\a, всё что требовалось отлично блокировалось правилами в файерволе pfSense.

    Помогите пож-та разобраться.



  • Рулить доступом к squid нужно настройками squid. Правила файрвола на него не действуют (так сделано). В настройках сквида все необходимое есть.



  • Из всех вкладок

    _General/Upstream Proxy/Cache Mgmt/Access Control/Traffic Mgmt/Auth Settings/Local Users   _

    судя по всему эти настройки находятся во вкладке Access Control

    Но там можно заблокировать непосредственно для всех, а вот чтобы для конкретного ip адреса внутри сети, такое возможно сделать? Если да, то где искать данную возможность?



  • Banned host addresses
    Enter each IP address on a new line that is not to be allowed to use the proxy.

    Введите каждый IP адрес, которому не разрешено использовать прокси, на новой строке,



  • Введите каждый IP адрес

    но ввод адреса компьютера закрывает полностью доступ в интернет.



  • @Azot:

    Введите каждый IP адрес

    но ввод адреса компьютера закрывает полностью доступ в интернет.

    Только HTTP. Остальные сервисы типа POP/SMTP/др. регулируются правилами файрвола.



  • Только HTTP.

    мда, но я хотел настроить блокировку определённых сайтов. Как я понимаю при выходе в интрнет http через прокси, средствами squid\a это не сделать. Вот сейчас так же читаю другие темы и походу, для того чтобы организовать то что я хочу по ходу надо ещё установить пакет squidguard, верно?



  • @Azot:

    Только HTTP.

    мда, но я хотел настроить блокировку определённых сайтов. Как я понимаю при выходе в интрнет http через прокси, средствами squid\a это не сделать. Вот сейчас так же читаю другие темы и походу, для того чтобы организовать то что я хочу по ходу надо ещё установить пакет squidguard, верно?

    Да, так. Просто выше про отдельные сайты разговора не было. Cтояла задача отлучить от инета конкретный IP.



  • Просто выше про отдельные сайты разговора не было.

    видимо не выразил до конца мысль, спасибо огромное за советы!!!



  • Введите каждый IP адрес, которому не разрешено использовать прокси, на новой строке,

    если адресов много?

    Допустим сеть 192.168.1.1 - 120, инет нужен только на 20 компах, как быть?

    Как избежать подмену ip?



  • @Asner:

    Введите каждый IP адрес, которому не разрешено использовать прокси, на новой строке,

    если адресов много?

    Допустим сеть 192.168.1.1 - 120, инет нужен только на 20 компах, как быть?

    Как избежать подмену ip?

    ну это уж вы слишком серьезно подходите к вопросу

    простой способо:
    ad -> запрет изменения настроек сети

    сложный способо
    управляемые свичи -> фильтрация по паре mac+ip



  • в dnsmasq (который используется в pfsense) есть такая возможность.



  • ad -> запрет изменения настроек сети

    это да, верно… погляжу в эту сторону...

    Допустим сеть 192.168.1.1 - 120, инет нужен только на 20 компах, как быть?

    касательно темы топика, сквид пропускает 80 порт, забивать блэк лист, утомительно… как быть?



  • @Asner:

    Допустим сеть 192.168.1.1 - 120, инет нужен только на 20 компах, как быть?

    касательно темы топика, сквид пропускает 80 порт, забивать блэк лист, утомительно… как быть?

    что именно забивать? блэклист плохих сайтов?
    да таких блэклистов туева хуча в сети валяется



  • Рулить доступом к squid нужно настройками squid. Правила файрвола на него не действуют (так сделано). В настройках сквида все необходимое есть.

    блэклист ip адресов у которых не должно быть инета, но должна быть скажем почта…



  • @Asner:

    блэклист ip адресов у которых не должно быть инета, но должна быть скажем почта…

    ну уж извините



  • @Asner:

    Рулить доступом к squid нужно настройками squid. Правила файрвола на него не действуют (так сделано). В настройках сквида все необходимое есть.

    блэклист ip адресов у которых не должно быть инета, но должна быть скажем почта…

    Доступ к почте по 25/110 портам настраиваем в файрволе.
    Доступ к HTTP запрещаем средствами squid
    Доступ к почте а-ля webMail делаем с помощью squid/squidGuard. - это управление HTTP трафиком.



  • Доступ к HTTP запрещаем средствами squid

    то есть, как ниже… И никак иначе?

    Banned host addresses
    Enter each IP address on a new line that is not to be allowed to use the proxy.

    Введите каждый IP адрес, которому не разрешено использовать прокси, на новой строке,



  • @Asner:

    Доступ к HTTP запрещаем средствами squid

    то есть, как ниже… И никак иначе?

    Banned host addresses
    Enter each IP address on a new line that is not to be allowed to use the proxy.

    Введите каждый IP адрес, которому не разрешено использовать прокси, на новой строке,

    SquidGuard даст вам полный контроль в любых вариациях.



  • dvserg

    SquidGuard даст вам полный контроль в любых вариациях.

    Благодарю… буду разбираться.


Log in to reply