Перейти до

Как закрыть доступ к некоторым ресурсам на гейте?

Lambert

Автор: Lambert,
в Софт

 Share Подписчики 0

Рекомендованные сообщения

Lambert

Lambert 5

Опубликовано:
Опубликовано:

Дано: сервер, на базе FreeBSD 5.4 Release, раздающий интернет вовнутрь небольшой офисной локалки.

используется PF NAT и старгейзеровский биллинг для подсчета кто сколько съел мирового трафика

Надо: запретить доступ к инетосвалкам вроде вконтахтов, одноклассников, ютубов и пр.

Вопрос: можно ли это как-то реализовать, не устанавливая транспарентный сквид?

Спасибо

Ссылка на сообщение
Поделиться на других сайтах
prototip

prototip 286

Опубліковано:
Опубліковано:

Прикольно , сначала поднимают нат чтобы все всегда у всех работало , а потом думают как это все закрыть :) . Подними прозрачную ключевое слово "transparent proxy" проксю для начала , однако если много умных есть это не поможет .

Ссылка на сообщение
Поделиться на других сайтах
Lambert

Lambert 5

Опубліковано:
  • Автор
Опубліковано:

про редирект - есть ли пример?

 

изначально действительно надо было раздать инет на всю контору минимальными затратами. Нашел старый комп, водрузил фрю, поднастроил - все работает.

Когда юзверы начали помалу перебирать провайдерский лимит по зарубежью - начал интересоваться, кто и чем. Поставил старгейзер. Потом пошел по юзверским машинам - оказалось что 70% бездельников лазят куда хотят.

Про сквид в транспарентном режиме знаю, ставил такое. В принципе, сия древняя машинка должна потянуть, но.. я думал, есть какой-то элегантный способ запретить всем, кто за натом, ходить на определенные IP что в блэклисте

Ссылка на сообщение
Поделиться на других сайтах
kvirtu

kvirtu 315

Опубліковано:
Опубліковано:
  В 30.12.2009 в 15:50, prototip сказав:

Прикольно , сначала поднимают нат чтобы все всегда у всех работало , а потом думают как это все закрыть :) . Подними прозрачную ключевое слово "transparent proxy" проксю для начала , однако если много умных есть это не поможет .

Самый безгеморойный способ, это конечно прокси, интересно как эти умники могут обойти прозрачную проксю ???

Ссылка на сообщение
Поделиться на других сайтах
BUM

BUM 242

Опубліковано:
Опубліковано:
  В 30.12.2009 в 16:10, kvirtu сказав:
  В 30.12.2009 в 15:50, prototip сказав:

Прикольно , сначала поднимают нат чтобы все всегда у всех работало , а потом думают как это все закрыть :) . Подними прозрачную ключевое слово "transparent proxy" проксю для начала , однако если много умных есть это не поможет .

Самый безгеморойный способ, это конечно прокси, интересно как эти умники могут обойти прозрачную проксю ???

Если есть нат, то легко :)

Ссылка на сообщение
Поделиться на других сайтах
Lambert

Lambert 5

Опубліковано:
  • Автор
Опубліковано:

Ну хм.. зачем же оставлять открытым нат, стявя транспарентный прокси? :)

просто pf nat менее ресурсоемкий нежели squid, мне думалось, можно что-то сделать имеющимися средствами

Ссылка на сообщение
Поделиться на других сайтах
BUM

BUM 242

Опубліковано:
Опубліковано:

Ну как вариант можно реджектить или дропать средствами фаера ip-адреса (ну или пул адресов), например для контактов это - 93.186.224.0/21, но ИМХО это зврат редкосный да и юзвери додумаются найти проксики в нете :)

счастье в сквиде :) кстати если уже принимать меры то ставить еще сквидгуард, и да - аннонимайзеры всякие закрыть. :)

Ссылка на сообщение
Поделиться на других сайтах
Enferno

Enferno 163

Опубліковано:
Опубліковано:

безполезно закрывать.. кому надо выйти в инет, то найдет как.. сейчас слава Богу реал айпи не есть проблеммка.. оставил дома вкл комп, поднял прокси личный и в бой.. выкупить можно.. но это причуды каждого. Самый реальный способ конечно, это поднять транспар. прокси..

Ссылка на сообщение
Поделиться на других сайтах
BUM

BUM 242

Опубліковано:
Опубліковано:
  В 30.12.2009 в 22:29, Enferno сказав:

сейчас слава Богу реал айпи не есть проблеммка.. оставил дома вкл комп, поднял прокси личный и в бой..

и каким таким макаром он выдет если траф завернут на проксю, ната нет? :)

Ссылка на сообщение
Поделиться на других сайтах
Lambert

Lambert 5

Опубліковано:
  • Автор
Опубліковано:
  В 30.12.2009 в 21:28, BUMSAVER сказав:

Ну как вариант можно реджектить или дропать средствами фаера ip-адреса (ну или пул адресов), например для контактов это - 93.186.224.0/21, но ИМХО это зврат редкосный да и юзвери додумаются найти проксики в нете :)

счастье в сквиде :) кстати если уже принимать меры то ставить еще сквидгуард, и да - аннонимайзеры всякие закрыть. :)

посмотрим, додумаются ли :(

можно пример, как это сделать средствами BSD pf ?

Ссылка на сообщение
Поделиться на других сайтах
Cell

Cell 7

Опубліковано:
Опубліковано:
  В 31.12.2009 в 00:43, BUMSAVER сказав:
  В 30.12.2009 в 22:29, Enferno сказав:

сейчас слава Богу реал айпи не есть проблеммка.. оставил дома вкл комп, поднял прокси личный и в бой..

и каким таким макаром он выдет если траф завернут на проксю, ната нет? :)

Ну да, а почту гонять? тоже через проксю? Конечно можно еще и свой почтовик настроить (только в планы не входило). А для почты еще и ДНС нужно (можно конечно свой, но тоже в планы не входило)

Все? VPN туннель по 53, 25 или 110 порту на домашний комп и аля-улю :-Р

Ссылка на сообщение
Поделиться на других сайтах
Lambert

Lambert 5

Опубліковано:
  • Автор
Опубліковано:

Ну это конечно все возможно, но... как вы считаете, из тех что читает одноклассники и контакты - есть ли такие кто знает об уровнях OSI хотя бы? :) В общем, туннелей бояться не приходится. Домохозяек усмирить надоть

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
 Share
Подписчики 0
Перейти до переліку тем

  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

×
×
  • Створити нове...