Блокировка инета на машинах



  • Здравствуйте ув. форумчане. Помогите разобраться с настройкой pfsense. Задача следующая, необходимо на некоторых машинах запретить 80 и 443 порт, но при этом оставить открытый доступ на пару сайтов по 80 порту. Установлен Squid+Lightsquid+SquidGuard.



  • так в настройках фаервола (Firewall: Rules ) первым, вторым правилом для группы машин (создай алиас) разреши "пару сайтов", а третьим запрети им все.
    в принципе для твоего счастья  Squid+Lightsquid+SquidGuard вроде как и не нужен, если только на будущее.



  • Создал правило запрещающее 80 порт на машинах, но оно не срабатывает




  • 1. Покажите ваш алиас ip
    2. Сквид установлен?



  • @werter:

    1. Покажите ваш алиас ip
    2. Сквид установлен?

    2. Сквид установлен
    1. Предоставляю алиас ip




  • 2. Сквид установлен

    В нем и проблема.

    P.s. Вы заблокировали лишь 1 (один)  IP-адрес. Читать - http://habrahabr.ru/post/217585/



  • @werter:

    P.s. Вы заблокировали лишь 1 (один)  IP-адрес.

    Да, я в тестовых целях решил проверить на одном IP. Решил запретить ему 80 порт. Но данное правило на него не действует.

    P.S. Нашел как запретить 80 порт в Сквиде Access control. Но тогда не открывается доступ на необходимый сайт



  • Поставь это правило первым (самым верхним)



  • @ogursoft:

    Поставь это правило первым (самым верхним)

    Оно и так стоит самым первым помимо проброса портов (80,443,22). Стандартное правило.



  • А по-моему это правило, разрешающее все соединения для LAN на 80,443 и 22 порту, оно и разрешает всем доступ, а ваше правило после него



  • @ogursoft:

    А по-моему это правило, разрешающее все соединения для LAN на 80,443 и 22 порту, оно и разрешает всем доступ, а ваше правило после него

    Насколько я знаю это идет стандартное правило, и выше него нельзя поставить никакое правило. Возможно я конечно не понимаю еще в данном моменте.



  • 2. Сквид установлен
    В нем и проблема.

    Между строк читаем?



  • @werter:

    2. Сквид установлен
    В нем и проблема.

    Между строк читаем?

    я понял что проблема в нем, как  правильно его настроить на данное правило?



  • Трафик идущий через squid невозможно ограничить правилами firewall. Ковыряйте target categories в squidguard, там есть регулярные выражения, которые в принципе могут помочь.



  • @Vetal78a:

    @werter:

    P.s. Вы заблокировали лишь 1 (один)  IP-адрес.

    Да, я в тестовых целях решил проверить на одном IP. Решил запретить ему 80 порт. Но данное правило на него не действует.

    P.S. Нашел как запретить 80 порт в Сквиде Access control. Но тогда не открывается доступ на необходимый сайт

    В сквидгарде в Proxy filter SquidGuard: Target categories делаете категорию "имя_категории" где прописываете нужные сайты. Далее в группе или для этого IP адреса указываете поведение для этой группы - whitelist, тогда открываться будет только то, что будет прописано в категории для белого списка.

    ![????? ??????01.jpg](/public/imported_attachments/1/????? ??????01.jpg)
    ![????? ??????01.jpg_thumb](/public/imported_attachments/1/????? ??????01.jpg_thumb)



  • Спасибо за помощь, вроде разобрался


Log in to reply