Помогите новичку, направьте в нужную стор



  • Доброго времени суток всем специалистам!

    Работаю с PFSense пару месяцев, в общем-то, от меня в нашей организации требуется только умень установить PFSense и накатить готовый конфиг. Но многое работает не совсем так, как должно бы, имхо.
    Например, инет пользователям ограничивается только путём внесения в бан-лист Proxy server: Access control. Но по факту есть 4 группы пользователей:

    1. Неограниченный инет
    2. Только один простенький сайт
    3. Простенький сайт + яндекс карты + гугл карты + все сервисы mail.ru
    4. Интернет запрещён совсем.

    Ограничение на данный момент реализуется тупо средствеми Internet Explorer (вкладка "содержание"). Но, сами понимаете, это дикий гемор + ручная настройка каждого компа + возможность легко обойти даже без админских прав.

    Установив SquidGuard, я разобрался, как работает ограничение, но, насколько я понял, сайты  по протоколу https корректно работать так просто не будут, т.е. если разрешаешь в Proxy filter SquidGuard: Target categories  yandex.ru, то карты всё равно не грузятся.

    PFSense 2.1 + Squid 2.7.9 + SquidGuard 1.4_4 pkg v.1.9.14
    Прокси не прозрачный.

    Не прошу разжевывать, покажите, возможно ли вообще с помощью squidguard решить вопрос и если это технически невозможно, то какими средствами это можно сделать.

    Проблема в том, что нужно ограничить интернет только некоторым юзерам, никак не затронув остальную сеть, поскольку вся организация работает через VPN, эксперименты со всей сетью крайне нежелательны.



  • Для блокирования\разрешения https необходимо :

    1. Сквид версии 3

    2. Сертификат для подсовывания клиентам, чтобы их защищенный трафик анализировать

    3. Установка этого сертификата клиентам через GP или руками каждому.

    4. Создание ACL в гварде, согласно Вашему ТЗ.


Log in to reply