Firewall + Squid + SquidGuard + разграничение прав. (v 2.0)



  • Доброго времени суток. Прошу помощи в задаче закрытия доступа к сайтам. Ситуация следующая: есть 5 пользовательских машин, на которых нужно закрыть доступ из WAN ко всем сайтам, кроме 2-3, и один админский компьютер, которому такие ограничения не нужны. Причем хотелось бы закрыть даже попытки входящих соединений с не доверенной стороны.  Локальная сеть без ограничений. Мои попытки сделать это только через фаервол ни к чему не привели — адреса в deny по-прежнему доступны. Через squid получилось закрыть по blacklist, но это совсем не то. А те мануалы, которыми руководствовался, понимания не дали.  ???



  • Покажите, что у Вас уже сделано ? Настройки squid/squidGuard ?
    Про "даже попытки входящих соединений" не совсем понятно.



  • Ну так узнайте диапазон ай-пи этих 2-3 сайтов. Их разрешите по HTTP (HTTPS?) -му порту (ам) (Firewall-Rules-LAN ) и 53-и ТСП\ЮДП для разрешения имен. И всё. На кой Вам сквид-то для этих целей ?



  • @werter:

    Ну так узнайте диапазон ай-пи этих 2-3 сайтов. Их разрешите по HTTP (HTTPS?) -му порту (ам) (Firewall-Rules-LAN ) и 53-и ТСП\ЮДП для разрешения имен. И всё. На кой Вам сквид-то для этих целей ?

    Тоже не понимаю, но посоветовали делать это именно через сквид.

    Но как мне разграничить права, чтобы на админский компьютер они не распространялись, а на пользовательских, например, был открыт доступ только к диапазону 85.235.12.0—85.235.12.255



  • @Realetive:

    @werter:

    Ну так узнайте диапазон ай-пи этих 2-3 сайтов. Их разрешите по HTTP (HTTPS?) -му порту (ам) (Firewall-Rules-LAN ) и 53-и ТСП\ЮДП для разрешения имен. И всё. На кой Вам сквид-то для этих целей ?

    Тоже не понимаю, но посоветовали делать это именно через сквид.

    Но как мне разграничить права, чтобы на админский компьютер они не распространялись, а на пользовательских, например, был открыт доступ только к диапазону 85.235.12.0—85.235.12.255

    Это можно сделать правилами файрвола без прокси.



  • @dvserg:

    @Realetive:

    @werter:

    Ну так узнайте диапазон ай-пи этих 2-3 сайтов. Их разрешите по HTTP (HTTPS?) -му порту (ам) (Firewall-Rules-LAN ) и 53-и ТСП\ЮДП для разрешения имен. И всё. На кой Вам сквид-то для этих целей ?

    Тоже не понимаю, но посоветовали делать это именно через сквид.

    Но как мне разграничить права, чтобы на админский компьютер они не распространялись, а на пользовательских, например, был открыт доступ только к диапазону 85.235.12.0—85.235.12.255

    Это можно сделать правилами файрвола без прокси.

    Если вас не затруднит, могли бы объяснить, какие пункты заполнять? Если я, к примеру, просто пытаюсь закрыть доступ к определенному сайту (budist.ru), адрес все равно доступен :(




  • @Realetive:

    @dvserg:

    @Realetive:

    @werter:

    Ну так узнайте диапазон ай-пи этих 2-3 сайтов. Их разрешите по HTTP (HTTPS?) -му порту (ам) (Firewall-Rules-LAN ) и 53-и ТСП\ЮДП для разрешения имен. И всё. На кой Вам сквид-то для этих целей ?

    Тоже не понимаю, но посоветовали делать это именно через сквид.

    Но как мне разграничить права, чтобы на админский компьютер они не распространялись, а на пользовательских, например, был открыт доступ только к диапазону 85.235.12.0—85.235.12.255

    Это можно сделать правилами файрвола без прокси.

    Если вас не затруднит, могли бы объяснить, какие пункты заполнять? Если я, к примеру, просто пытаюсь закрыть доступ к определенному сайту (budist.ru), адрес все равно доступен :(

    Почти правильно )) Только наоборот! Этот адрес в Destination засунуть. А в Source ,если для всех, указать LAN subnet. Правило же для админа с доступом везде разместить самым первым.

    P.s. И начните читать что-нибудь по основам сетей (( Pf все-таки продукт не для полных новичков. Никто необходимый минимум здесь разжевывать спецом для Вас не будет.



  • @werter:

    @Realetive:

    @dvserg:

    @Realetive:

    @werter:

    Ну так узнайте диапазон ай-пи этих 2-3 сайтов. Их разрешите по HTTP (HTTPS?) -му порту (ам) (Firewall-Rules-LAN ) и 53-и ТСП\ЮДП для разрешения имен. И всё. На кой Вам сквид-то для этих целей ?

    Тоже не понимаю, но посоветовали делать это именно через сквид.

    Но как мне разграничить права, чтобы на админский компьютер они не распространялись, а на пользовательских, например, был открыт доступ только к диапазону 85.235.12.0—85.235.12.255

    Это можно сделать правилами файрвола без прокси.

    Если вас не затруднит, могли бы объяснить, какие пункты заполнять? Если я, к примеру, просто пытаюсь закрыть доступ к определенному сайту (budist.ru), адрес все равно доступен :(

    Почти правильно )) Только наоборот! Этот адрес в Destination засунуть. А в Source ,если для всех, указать LAN subnet. Правило же для админа с доступом везде разместить самым первым.

    P.s. И начните читать что-нибудь по основам сетей (( Pf все-таки продукт не для полных новичков. Никто необходимый минимум здесь разжевывать спецом для Вас не будет.

    Спасибо, все получилось, кроме одного — не могу верно задать диапазон. Создал два алиаса для source (для полного доступа (admins) и ограниченного(models)). Но диапазон для разрешенных сайтов пользователя составить не получается. Например, хочу позволить только переводчик Google, его диапазон, если верить Ip Lookup — 74.125.230.128–74.125.230.143. Добавляю 74.125.230.128\28 в Network алиаса разрешенных сайтов, указываю его в Destination для правила фаервола. Не пускает.
    P.S. Если использую не диапазон, а, допустим, только один ip-адрес, то все в порядке, кроме того, что время открытие сайта значительно увеличивается.






  • Для DNS то зачем такое правило? DNS должно быть разрешено для всех и всегда. Поэтому медленно открывается.



  • А TCP\UDP  для 80-го и 443-го портов-то зачем ??!! Только TCP!

    P.s. Все таки начните читать доку по сетям. Такая очевидная неграмотность просто коробит  >:(



  • @Realetive:

    Например, хочу позволить только переводчик Google, его диапазон, если верить Ip Lookup — 74.125.230.128–74.125.230.143. Добавляю 74.125.230.128\28 в Network алиаса разрешенных сайтов, указываю его в Destination для правила фаервола. Не пускает.

    Гугл переводчик можно использовать приблизительно также как ананимайзеры и прокси. Открыв переводчик, вы открываете все сайты.


Log in to reply