SQUID и CITRIX



  • Доброго времени суток.
    Сложилась данная проблема поставил Squid+lightsquid (сил не было терпеть интернет беспредел со стороны пользователей, решил подсобирать компромат и резануть все доступ по сайтам), при этом пользователи используют Citrix. сделав правило в Nat заворачивающие их на прокси, совсем не учел что Citrix тоже использует 80 порт. Получилось что все перестали работать в 1С. Желающих полазить в интернете куча из-за этого частые проблемы, так как люди просто борзеть начали (смотрять фильмы в онлайне), есть лик какой то способ пропусить Citrix ??? Пока решается вопрос с новым сервером для AD, прописывать ручками прокси бесполезно, все с правами админов сидят, поэтому если один допрет что к чему, то можно считать что половина опять свободна, а бегать и перенастраивать нет ни сил. не желания. Подскажите способ решения

    Заранее спасибо



  • На citrix ходят на определённый IP (IP range)?
    Хочешь резануть весь интернет?



  • @Evgeny:

    На citrix ходят на определённый IP (IP range)?
    Хочешь резануть весь интернет?

    Я понимаю что на определнный IP. но на порт то 80, может просто как то создать правило которое будет пропускать адрес цитрикса на нужный адрес а не на локалхост прокси?!
    Нет не весь, просто поотрубать часть сайтов которыми они пользуются. Блэк листы искать не стал, решил что бы LightSquid собрал статистику их похождений и самому закрыть доступ, а потом по мере сбора статистики прикрывать дальше(именно поэтому надо что бы постоянно Squid собирал статистику), тем более самые популярные и так известны, Однокласники и вконтакте + сайты знакомств. Но с этим Цитриксом все пошло на перекосяк, а так хочется сделат гадость для сотрудников и счастье для себя.

    Заранее спасибо



  • Какая версия pfSense?
    Что за правило НАТ которое заворачивает на прокси?
    Прокси не прозрачный? Тогда смысл правила НАТ?

    В вашем случае достаточно сделать разрешающее правило для прохождения трафика по 80 портe только на сервера CITRIX, остальные пусть идут и настраивают http/https/ftp через непрозрачный прокси pfSenseIP:3128. Если лениво - добавить в корень WWW сервера WPDA.DAT и прописать автоопределение прокси у всех клиентов. В любом случае, кроме как через прокси в инет они не попадут.



  • Для ясности, расскажу как было
    Поставил Pfsense 1.2.3
    Поставил Squid и Lightsquid
    Сделал в Nat правило все кто идет через 80 порт заворачивают на 127.0.0.1 (тут на форуме тема была оттуда и брал)

    "сделать разрешающее правило для прохождения трафика по 80 портe только на сервера CITRIX" - нет интернет нужен, но не весь, а так получается что все закрыто только Citrix открыт, не подходит так

    Заранее спасибо.



  • нет интернет нужен, но не весь, а так получается что все закрыто только Citrix открыт, не подходит так

    Поясните что значит интернет нужен, но не весь? И тут-же вы заворачиваете его на сквид..
    Сквид и даст Вам интернет, но контролируемый. Мимо него пройдет только трафик на Citrix.

    .. а, ну конечно
    Сквид и многие другие пакеты в pfSense не требуют отдельных разрешающих пользовательских правил.
    Вы не можете контролировать доступ к squid своими правилами. Это делается средствами squid/squidGuard.



  • @dvserg:

    нет интернет нужен, но не весь, а так получается что все закрыто только Citrix открыт, не подходит так

    Поясните что значит интернет нужен, но не весь? И тут-же вы заворачиваете его на сквид..
    Сквид и даст Вам интернет, но контролируемый. Мимо него пройдет только трафик на Citrix.

    .. а, ну конечно
    Сквид и многие другие пакеты в pfSense не требуют отдельных разрешающих пользовательских правил.
    Вы не можете контролировать доступ к squid своими правилами. Это делается средствами squid/squidGuard.

    Тоесть доставлять squidGuard и ковырять там уже, я правильно понял ?! В принципе мне нужна схема такая люди себе ходят в интернет. слушают онлайн радио смотрять разные страницы, но как только начинают перегибать, то я перекрываю им кислород на перечень сайтов и они сидят целый день занимаются работой, ну или делают вид что работают )) спасибо за подсказку буду сейчас смотреть



  • как же "все заработают" с воплями нужный для "работы" не открывается к тебе придут  ;D



  • @NegoroX:

    как же "все заработают" с воплями нужный для "работы" не открывается к тебе придут  ;D

    Хочу посмотреть как они пойдут служебки катать ген директору, содержания типа Прошу включить мне loveplanet потому что у меня так ведется активный поиск клиентов ))) А Генеральный у нас строгий мужик ) Просто мой начальник не сильно рвется этим заниматься, а меня кумарит когда из-за одного идиота не работает касса, потому что канала не хватает.



  • @Blaze_od:

    @NegoroX:

    как же "все заработают" с воплями нужный для "работы" не открывается к тебе придут  ;D

    Просто мой начальник не сильно рвется этим заниматься, а меня кумарит когда из-за одного идиота не работает касса, потому что канала не хватает.

    В сквиде ограничьте общую скорость на HTTP и для отдельно на одного юзера. На цитрикс это не повлияет.



  • Что то я не понял что там в SquidGuarde настроить, что бы Citrix заработал



  • @dvserg:

    В вашем случае достаточно сделать разрешающее правило для прохождения трафика по 80 портe только на сервера CITRIX, остальные пусть идут и настраивают http/https/ftp через непрозрачный прокси pfSenseIP:3128. Если лениво - добавить в корень WWW сервера WPDA.DAT и прописать автоопределение прокси у всех клиентов. В любом случае, кроме как через прокси в инет они не попадут.

    Цитрикс Вы разрешаете в правилах файрвола путем открытия 80 порта только на адрес Цитрикс сервера. Остальной же интернет по 80 порту по прежнему напрямую недоступен. Весь остальной HTTP должен работать через сервис squid, который управляет только протоколом HTTP (s).


Log in to reply