организация запрета доступа к сайтам?



  • :)  Добрый день всем участникам форума.
    Я новичок в пфсенсе, хотя стоит он уже давно…конфигурирую его помаленьку.

    сейчас появилась необходимость создания запрета ко всем сайтам, за исключением банковсих(для интернет банка) , вида ХТТПС+порт и 20ки сайтов необходимых для работы офиса.

    вопрос такой, как это сделать? может блек лист имеет команды как "закрыть все, кроме" ? и прописать вайтлист на необходимые сайты? подскажите пожалуйста.
    поиском пользовался...мало что похожего нарыл. англо версии читаю с трудом ((

    п.с. еще возможно надо будет 2-3 внутренним адресам дать постоянный доступ , не блокируемый никогда. Unrestricted IPs - думаю сюда?
    Прокси и все сквиды установлены.

    Заранее благодарен!



  • squid + squidgurard
    Здесь есть на русском.
    http://www.diskatel.narod.ru/pfSense/index.htm



  • т.е. свидгвардом пользоваться надо…
    просто сквид у меня установлен.

    п.с. там не совсем на русском) т.е. совсем не на русском.

    Спасибо.



  • извиняюсь…на  русском нашел.

    Но вопрос остался. Есть ли некая командна """ блокировать все , кроме  "",  а не подгруз блек листов и создание фильтров и правил?

    если есть, то это значительно бы облегчило жизнь...



  • Да есть. Вкладка default в squidguard, там настройте блокирование по-умолчанию (all -block) , для остального создать white-destination и добавить его в default (white).

    Если же для вас использование squid слишком сложно и не нужны гибкие acl (разные настройки доступа для разных сайтов и пользователей), используйте dns сервисы типа opendns и rejector.ru.



  • спасибо большое, немного разобрался.

    такой вопрос, сквид и сквидгвард не мешают другу другу работать?



  • скорее наоборот. squidguard расширяет возможности squid



  • отлично. модуль добавил. редирект настроил. все работает) интернет заблокировал.))

    скажите пожалуйста…в стандартных настройках есть классификация запрета по аудио-видео , наркотикам, азартным играм, рекламным баннерам,почте  и прочему. Есть ли литература , в которой описано как работают данные фильтры? по каким параметрам сортируют.
    Default access [all] - с параметром deny закрывает все, кроме белого листа? я прав?

    скажите мне неразумеющему, где создавать белый лист( я так понял  для создания белого листа надо создать новое правило во вкладке дестинейшенс? )?  
    тот лист что в свкиде не работает…я проверял, и еще очень важно , где создать белый лист ай-пи адресов, которым всегда можно все ?

    извиняюсь что такой не умный в данном вопросе....
    спасибо.



  • создал в дестинейшенс правило с сайтами майл.ру, яндекс и рамблер, для примера. в деволте напротив нового правила поставил параметр аллоу.

    деволт -алл  оставил  дени. 
    стал пускать на эти 3 сайта, но отображение жутко кривое. что надо поменять?

    и еще… я включил редирект на сайт фирмы. редирект срабатывает при попытке зайти на сайты ,которых нет в правиле, но сайт фирмы стал отображаться дико не верно. отрезает все картинки и прочее.



  • Ну на порталах майру/рамблер и пр.. присутствуют ссылкина другие ресурсы.вотименно ониуВас и не отображаются - отсюда и косяки в изображении.



  • это понятно. исправилось изменением параметра с allow на white и дописанием в Expressions слов от сайта.

    однако отсечка адреса (не разрешенного в правиле с параметром вайт) идет как-то не верно.

    объясню, что имею ввиду. если в просто сквиде в блеклист внести сайт одноклассники в блеклист. то при попытке войти на него, тут же появится окно что доступ запрещен.

    сейчас же. если сайт не попал в список вайт из правил, то идет запрос,потом написно что получен ответ и так далее..можно минут по 5 на это смотреть…хотя сайт так и не откроется.

    мне кажется это не верно. как сделать чтобы сразу отсечка шла?    параметр дефолт алл стоит дени.



  • не понимаю что делать с функцией redirect mode . хочу чтобы просто писалось доступ запрещен. int blank page  - текст.  Но написано что не совместимо с режимом transparent(Note: if you use 'transparent proxy', then 'int' redirect mode will not accessible.). убираю в сквиде transparent proxy . тогда запреты на сайты перестают действовать вовсе!
    что же делать?



  • @Monarh:

    не понимаю что делать с функцией redirect mode . хочу чтобы просто писалось доступ запрещен. int blank page  - текст.  Но написано что не совместимо с режимом transparent(Note: if you use 'transparent proxy', then 'int' redirect mode will not accessible.). убираю в сквиде transparent proxy . тогда запреты на сайты перестают действовать вовсе!
    что же делать?

    А когда убираете прозрачность, в браузере использование прокси включаете? :)



  • Monarch, почитайте о squid вообще (хотя бы в википедии). Вам нужно в свойствах браузера включить использование прокси. Если машин много - используйте для автоматизации wpad или AD. Все это гуглится.



  • обязательно в свойствах браузеров указывать прокси? скажем в сетке 230 айпи является прокси с пфсенсом..  но на каждой  машине по умолчанию используется шлюз 230. этого мало ,а  в режиме прозрачности этого достаточно для блокировок?

    т.е. мне надо почистить поля шлюз на всех машинах клиентских , и просто настроить прокси в эксплорере скажем… ?

    про википедию не подумал))) почитаю обязательно. спасибо.

    еще 1 вариант. предположим я хочу оставить прозрачность. но почему тогда редирект так криво работает? на сайт куда указано перенаправление переходит, но сайт открывается в виде текста.

    может создать хтмл страничку внутри сети на шаэрпоинте и ее указать?



  • Шлюз до браузера пряого отношения не имеет. Не трогайте.
    Просто в настройках ИЕ укажите Ваш прокси-сервер.



  • фуххх..тут вроде разгребся.сам.  прокси через АД…все норм стало.

    такой вопросец.... даже без режима прозрачности редрект на вывод ошибки не работает. это немного огорчает. на сайт работает норма.

    и П.с. для тех у кого возможно остануться адреса шлюза и браузеры без прописки прокси...т.е. простая работа через шлюз... как им закрыть порты некоторые? через фаервол.... Рулес ...пробовал. там прописываю..но не помогает. как еще можно сделать?

    п.п.с .  тот белый лист и черный лист, а так же что ВАЖНО Unrestricted IPs и Banned host addresses , останусться активными? будет ли им разрешено и соответственно запрещено все ???

    за помощь всем спасибо огромное...



  • Измените правило фаерволла на вкладке LAN c "LAN -> Any" на "LAN -> LAN" это перекроет любое соединение из локальной сети на внешний адрес.


Log in to reply