Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    организация запрета доступа к сайтам?

    Russian
    4
    18
    13886
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • M
      Monarh last edited by

      :)  Добрый день всем участникам форума.
      Я новичок в пфсенсе, хотя стоит он уже давно…конфигурирую его помаленьку.

      сейчас появилась необходимость создания запрета ко всем сайтам, за исключением банковсих(для интернет банка) , вида ХТТПС+порт и 20ки сайтов необходимых для работы офиса.

      вопрос такой, как это сделать? может блек лист имеет команды как "закрыть все, кроме" ? и прописать вайтлист на необходимые сайты? подскажите пожалуйста.
      поиском пользовался...мало что похожего нарыл. англо версии читаю с трудом ((

      п.с. еще возможно надо будет 2-3 внутренним адресам дать постоянный доступ , не блокируемый никогда. Unrestricted IPs - думаю сюда?
      Прокси и все сквиды установлены.

      Заранее благодарен!

      1 Reply Last reply Reply Quote 0
      • D
        deutsche last edited by

        squid + squidgurard
        Здесь есть на русском.
        http://www.diskatel.narod.ru/pfSense/index.htm

        http://ru.doc.pfsense.org/

        1 Reply Last reply Reply Quote 0
        • M
          Monarh last edited by

          т.е. свидгвардом пользоваться надо…
          просто сквид у меня установлен.

          п.с. там не совсем на русском) т.е. совсем не на русском.

          Спасибо.

          1 Reply Last reply Reply Quote 0
          • M
            Monarh last edited by

            извиняюсь…на  русском нашел.

            Но вопрос остался. Есть ли некая командна """ блокировать все , кроме  "",  а не подгруз блек листов и создание фильтров и правил?

            если есть, то это значительно бы облегчило жизнь...

            1 Reply Last reply Reply Quote 0
            • D
              deutsche last edited by

              Да есть. Вкладка default в squidguard, там настройте блокирование по-умолчанию (all -block) , для остального создать white-destination и добавить его в default (white).

              Если же для вас использование squid слишком сложно и не нужны гибкие acl (разные настройки доступа для разных сайтов и пользователей), используйте dns сервисы типа opendns и rejector.ru.

              http://ru.doc.pfsense.org/

              1 Reply Last reply Reply Quote 0
              • M
                Monarh last edited by

                спасибо большое, немного разобрался.

                такой вопрос, сквид и сквидгвард не мешают другу другу работать?

                1 Reply Last reply Reply Quote 0
                • D
                  deutsche last edited by

                  скорее наоборот. squidguard расширяет возможности squid

                  http://ru.doc.pfsense.org/

                  1 Reply Last reply Reply Quote 0
                  • M
                    Monarh last edited by

                    отлично. модуль добавил. редирект настроил. все работает) интернет заблокировал.))

                    скажите пожалуйста…в стандартных настройках есть классификация запрета по аудио-видео , наркотикам, азартным играм, рекламным баннерам,почте  и прочему. Есть ли литература , в которой описано как работают данные фильтры? по каким параметрам сортируют.
                    Default access [all] - с параметром deny закрывает все, кроме белого листа? я прав?

                    скажите мне неразумеющему, где создавать белый лист( я так понял  для создания белого листа надо создать новое правило во вкладке дестинейшенс? )?  
                    тот лист что в свкиде не работает…я проверял, и еще очень важно , где создать белый лист ай-пи адресов, которым всегда можно все ?

                    извиняюсь что такой не умный в данном вопросе....
                    спасибо.

                    1 Reply Last reply Reply Quote 0
                    • M
                      Monarh last edited by

                      создал в дестинейшенс правило с сайтами майл.ру, яндекс и рамблер, для примера. в деволте напротив нового правила поставил параметр аллоу.

                      деволт -алл  оставил  дени. 
                      стал пускать на эти 3 сайта, но отображение жутко кривое. что надо поменять?

                      и еще… я включил редирект на сайт фирмы. редирект срабатывает при попытке зайти на сайты ,которых нет в правиле, но сайт фирмы стал отображаться дико не верно. отрезает все картинки и прочее.

                      1 Reply Last reply Reply Quote 0
                      • D
                        dvserg last edited by

                        Ну на порталах майру/рамблер и пр.. присутствуют ссылкина другие ресурсы.вотименно ониуВас и не отображаются - отсюда и косяки в изображении.

                        SquidGuardDoc EN  RU Tutorial
                        Localization ru_PFSense

                        1 Reply Last reply Reply Quote 0
                        • M
                          Monarh last edited by

                          это понятно. исправилось изменением параметра с allow на white и дописанием в Expressions слов от сайта.

                          однако отсечка адреса (не разрешенного в правиле с параметром вайт) идет как-то не верно.

                          объясню, что имею ввиду. если в просто сквиде в блеклист внести сайт одноклассники в блеклист. то при попытке войти на него, тут же появится окно что доступ запрещен.

                          сейчас же. если сайт не попал в список вайт из правил, то идет запрос,потом написно что получен ответ и так далее..можно минут по 5 на это смотреть…хотя сайт так и не откроется.

                          мне кажется это не верно. как сделать чтобы сразу отсечка шла?    параметр дефолт алл стоит дени.

                          1 Reply Last reply Reply Quote 0
                          • M
                            Monarh last edited by

                            не понимаю что делать с функцией redirect mode . хочу чтобы просто писалось доступ запрещен. int blank page  - текст.  Но написано что не совместимо с режимом transparent(Note: if you use 'transparent proxy', then 'int' redirect mode will not accessible.). убираю в сквиде transparent proxy . тогда запреты на сайты перестают действовать вовсе!
                            что же делать?

                            1 Reply Last reply Reply Quote 0
                            • D
                              DasTieRR last edited by

                              @Monarh:

                              не понимаю что делать с функцией redirect mode . хочу чтобы просто писалось доступ запрещен. int blank page  - текст.  Но написано что не совместимо с режимом transparent(Note: if you use 'transparent proxy', then 'int' redirect mode will not accessible.). убираю в сквиде transparent proxy . тогда запреты на сайты перестают действовать вовсе!
                              что же делать?

                              А когда убираете прозрачность, в браузере использование прокси включаете? :)

                              1 Reply Last reply Reply Quote 0
                              • D
                                deutsche last edited by

                                Monarch, почитайте о squid вообще (хотя бы в википедии). Вам нужно в свойствах браузера включить использование прокси. Если машин много - используйте для автоматизации wpad или AD. Все это гуглится.

                                http://ru.doc.pfsense.org/

                                1 Reply Last reply Reply Quote 0
                                • M
                                  Monarh last edited by

                                  обязательно в свойствах браузеров указывать прокси? скажем в сетке 230 айпи является прокси с пфсенсом..  но на каждой  машине по умолчанию используется шлюз 230. этого мало ,а  в режиме прозрачности этого достаточно для блокировок?

                                  т.е. мне надо почистить поля шлюз на всех машинах клиентских , и просто настроить прокси в эксплорере скажем… ?

                                  про википедию не подумал))) почитаю обязательно. спасибо.

                                  еще 1 вариант. предположим я хочу оставить прозрачность. но почему тогда редирект так криво работает? на сайт куда указано перенаправление переходит, но сайт открывается в виде текста.

                                  может создать хтмл страничку внутри сети на шаэрпоинте и ее указать?

                                  1 Reply Last reply Reply Quote 0
                                  • D
                                    dvserg last edited by

                                    Шлюз до браузера пряого отношения не имеет. Не трогайте.
                                    Просто в настройках ИЕ укажите Ваш прокси-сервер.

                                    SquidGuardDoc EN  RU Tutorial
                                    Localization ru_PFSense

                                    1 Reply Last reply Reply Quote 0
                                    • M
                                      Monarh last edited by

                                      фуххх..тут вроде разгребся.сам.  прокси через АД…все норм стало.

                                      такой вопросец.... даже без режима прозрачности редрект на вывод ошибки не работает. это немного огорчает. на сайт работает норма.

                                      и П.с. для тех у кого возможно остануться адреса шлюза и браузеры без прописки прокси...т.е. простая работа через шлюз... как им закрыть порты некоторые? через фаервол.... Рулес ...пробовал. там прописываю..но не помогает. как еще можно сделать?

                                      п.п.с .  тот белый лист и черный лист, а так же что ВАЖНО Unrestricted IPs и Banned host addresses , останусться активными? будет ли им разрешено и соответственно запрещено все ???

                                      за помощь всем спасибо огромное...

                                      1 Reply Last reply Reply Quote 0
                                      • D
                                        deutsche last edited by

                                        Измените правило фаерволла на вкладке LAN c "LAN -> Any" на "LAN -> LAN" это перекроет любое соединение из локальной сети на внешний адрес.

                                        http://ru.doc.pfsense.org/

                                        1 Reply Last reply Reply Quote 0
                                        • First post
                                          Last post