организация запрета доступа к сайтам?
-
:) Добрый день всем участникам форума.
Я новичок в пфсенсе, хотя стоит он уже давно…конфигурирую его помаленьку.сейчас появилась необходимость создания запрета ко всем сайтам, за исключением банковсих(для интернет банка) , вида ХТТПС+порт и 20ки сайтов необходимых для работы офиса.
вопрос такой, как это сделать? может блек лист имеет команды как "закрыть все, кроме" ? и прописать вайтлист на необходимые сайты? подскажите пожалуйста.
поиском пользовался...мало что похожего нарыл. англо версии читаю с трудом ((п.с. еще возможно надо будет 2-3 внутренним адресам дать постоянный доступ , не блокируемый никогда. Unrestricted IPs - думаю сюда?
Прокси и все сквиды установлены.Заранее благодарен!
-
squid + squidgurard
Здесь есть на русском.
http://www.diskatel.narod.ru/pfSense/index.htm -
т.е. свидгвардом пользоваться надо…
просто сквид у меня установлен.п.с. там не совсем на русском) т.е. совсем не на русском.
Спасибо.
-
извиняюсь…на русском нашел.
Но вопрос остался. Есть ли некая командна """ блокировать все , кроме "", а не подгруз блек листов и создание фильтров и правил?
если есть, то это значительно бы облегчило жизнь...
-
Да есть. Вкладка default в squidguard, там настройте блокирование по-умолчанию (all -block) , для остального создать white-destination и добавить его в default (white).
Если же для вас использование squid слишком сложно и не нужны гибкие acl (разные настройки доступа для разных сайтов и пользователей), используйте dns сервисы типа opendns и rejector.ru.
-
спасибо большое, немного разобрался.
такой вопрос, сквид и сквидгвард не мешают другу другу работать?
-
скорее наоборот. squidguard расширяет возможности squid
-
отлично. модуль добавил. редирект настроил. все работает) интернет заблокировал.))
скажите пожалуйста…в стандартных настройках есть классификация запрета по аудио-видео , наркотикам, азартным играм, рекламным баннерам,почте и прочему. Есть ли литература , в которой описано как работают данные фильтры? по каким параметрам сортируют.
Default access [all] - с параметром deny закрывает все, кроме белого листа? я прав?скажите мне неразумеющему, где создавать белый лист( я так понял для создания белого листа надо создать новое правило во вкладке дестинейшенс? )?
тот лист что в свкиде не работает…я проверял, и еще очень важно , где создать белый лист ай-пи адресов, которым всегда можно все ?извиняюсь что такой не умный в данном вопросе....
спасибо. -
создал в дестинейшенс правило с сайтами майл.ру, яндекс и рамблер, для примера. в деволте напротив нового правила поставил параметр аллоу.
деволт -алл оставил дени.
стал пускать на эти 3 сайта, но отображение жутко кривое. что надо поменять?и еще… я включил редирект на сайт фирмы. редирект срабатывает при попытке зайти на сайты ,которых нет в правиле, но сайт фирмы стал отображаться дико не верно. отрезает все картинки и прочее.
-
Ну на порталах майру/рамблер и пр.. присутствуют ссылкина другие ресурсы.вотименно ониуВас и не отображаются - отсюда и косяки в изображении.
-
это понятно. исправилось изменением параметра с allow на white и дописанием в Expressions слов от сайта.
однако отсечка адреса (не разрешенного в правиле с параметром вайт) идет как-то не верно.
объясню, что имею ввиду. если в просто сквиде в блеклист внести сайт одноклассники в блеклист. то при попытке войти на него, тут же появится окно что доступ запрещен.
сейчас же. если сайт не попал в список вайт из правил, то идет запрос,потом написно что получен ответ и так далее..можно минут по 5 на это смотреть…хотя сайт так и не откроется.
мне кажется это не верно. как сделать чтобы сразу отсечка шла? параметр дефолт алл стоит дени.
-
не понимаю что делать с функцией redirect mode . хочу чтобы просто писалось доступ запрещен. int blank page - текст. Но написано что не совместимо с режимом transparent(Note: if you use 'transparent proxy', then 'int' redirect mode will not accessible.). убираю в сквиде transparent proxy . тогда запреты на сайты перестают действовать вовсе!
что же делать? -
не понимаю что делать с функцией redirect mode . хочу чтобы просто писалось доступ запрещен. int blank page - текст. Но написано что не совместимо с режимом transparent(Note: if you use 'transparent proxy', then 'int' redirect mode will not accessible.). убираю в сквиде transparent proxy . тогда запреты на сайты перестают действовать вовсе!
что же делать?А когда убираете прозрачность, в браузере использование прокси включаете? :)
-
Monarch, почитайте о squid вообще (хотя бы в википедии). Вам нужно в свойствах браузера включить использование прокси. Если машин много - используйте для автоматизации wpad или AD. Все это гуглится.
-
обязательно в свойствах браузеров указывать прокси? скажем в сетке 230 айпи является прокси с пфсенсом.. но на каждой машине по умолчанию используется шлюз 230. этого мало ,а в режиме прозрачности этого достаточно для блокировок?
т.е. мне надо почистить поля шлюз на всех машинах клиентских , и просто настроить прокси в эксплорере скажем… ?
про википедию не подумал))) почитаю обязательно. спасибо.
еще 1 вариант. предположим я хочу оставить прозрачность. но почему тогда редирект так криво работает? на сайт куда указано перенаправление переходит, но сайт открывается в виде текста.
может создать хтмл страничку внутри сети на шаэрпоинте и ее указать?
-
Шлюз до браузера пряого отношения не имеет. Не трогайте.
Просто в настройках ИЕ укажите Ваш прокси-сервер. -
фуххх..тут вроде разгребся.сам. прокси через АД…все норм стало.
такой вопросец.... даже без режима прозрачности редрект на вывод ошибки не работает. это немного огорчает. на сайт работает норма.
и П.с. для тех у кого возможно остануться адреса шлюза и браузеры без прописки прокси...т.е. простая работа через шлюз... как им закрыть порты некоторые? через фаервол.... Рулес ...пробовал. там прописываю..но не помогает. как еще можно сделать?
п.п.с . тот белый лист и черный лист, а так же что ВАЖНО Unrestricted IPs и Banned host addresses , останусться активными? будет ли им разрешено и соответственно запрещено все ???
за помощь всем спасибо огромное...
-
Измените правило фаерволла на вкладке LAN c "LAN -> Any" на "LAN -> LAN" это перекроет любое соединение из локальной сети на внешний адрес.