ipfw

[Витaлий1 0]

Всем привет. Нуждаюсь в помощи ,и дельном совете. Прошу сразу простить за возможные тормоза,т.к с fbsd дело иметь начал совсем не давно.

Поставлена задача  ограничить доступ из локалки офисным работникам  к социальным сетям,а именно начать с одноклассников .

 

Есть возможность это сделать на fbsd сервере , средствами ipfw . Идея заключается в том ,чтобы юзвери ломясь на  одноклассники ,

получали баннер ,и их попытка зайти на этот ресурс фиксировалась у меня в фаиле .Поможет fwd ,но синтаксис не понятен...

 

Перелопатил кучу манов,и форумов, так и не разобрался. Помогите плз.. 

Відредаговано 2013-04-03 23:41:34 Витaлий1

[adeep 212]

а прокси в интерене тоже все забаните?

[...sirius 3]

fwd 127.0.0.1,8080 log tcp from $local_net to table\(1\) in recv $local_if

 

первое 127.0.0.1,8080 тут адрес, куда перенаправлять пакеты(этот же сервер или другой)

$local_net ваша внутренняя локалка, например 192.168.0.0/24, можно сделать в таблице, если нужно только для определенных адресов

log tcp from... будет записывать в файл /var/log/security пакеты попадающие под это правило

table\(1\) - тут адреса одноклассников или вконтакте или другой чепухи

$local_if - интерфейс в локальную сеть

Відредаговано 2013-04-04 11:30:28 ...sirius

[asa 5]

Смотрите в сторону L7 фильтрации

вот что находит гугл ... http://nuclight.livejournal.com/122098.html

зы

теоретически можно будет отфилтровать весь не шифрованный трафик

[masters 126]

Если ресурсы сервера позволяют, можно организовать через прозрачную проксю + режик. У меня данная связочка отлично работала.

Если вообще не заморачиваться - СкайДнс Вам в помошь. Прописывайте его на сервере, как основной ДНС, закрываете юзерам 53й порт в ipfw. И надо позакрывать ip-адреса самого скайднса, чтоб юзеры не смогли установить свой клиент.

[Lambert 5]

так я и сделал, только не с ipfw а с pf:

 

block drop in log quick on $ext_if1 from <banned> to any

 

скрипт, что наполняет таблицу:

 

#!/bin/sh

for row in vk.com audiovkontakte.ru vkontakte.ru vk.ru odnoklasniki.ru ..... и прочий хлам
do
for ip in `dig $row +short | sort`
do
pfctl -t banned -T add $ip 2>&1 > /dev/null
pfctl -f /etc/pf.conf
done
done

 

53 порт наружу закрыт, юзается только локальный резолвер

минус один - через какой-нить анонимайзер можно зайти. Таких умных тут пока что нет, как появятся - придется что-то думать с анализатором контента 

Відредаговано 2013-04-04 08:23:30 Lambert

[asa 5]

так я и сделал, только не с ipfw а с pf:

 

block drop in log quick on $ext_if1 from <banned> to any

 

скрипт, что наполняет таблицу:

 

#!/bin/sh

 

for row in vk.com audiovkontakte.ru vkontakte.ru vk.ru odnoklasniki.ru ..... и прочий хлам

do

for ip in `dig $row +short | sort`

do

pfctl -t banned -T add $ip 2>&1 > /dev/null

pfctl -f /etc/pf.conf

done

done

 

53 порт наружу закрыт, юзается только локальный резолвер

минус один - через какой-нить анонимайзер можно зайти. Таких умных тут пока что нет, как появятся - придется что-то думать с анализатором контента 

имхо закрытие 53го порта никоем образом не спасает от тунелей и проксей

только фильтрация на 7м уровне, только хардкор

[Витaлий1 0]

всем спасибо ,буду пробовать!

[Ромка 567]

squid3 + squidguard

но опять же от тоннелей не спасет, зато для squidguard есть постоянно пополняемые списки адресов сайтов по категориям. Правда не знаю насколько применимо к freebsd, на  linux работает.

[Витaлий1 0]

fwd 127.0.0.1,8080 log tcp from $local_net to table\(1\) in recv $local_if

 

первое 127.0.0.1,8080 тут адрес, куда перенаправлять пакеты(этот же сервер или другой)

$local_net ваша внутренняя локалка, например 192.168.0.0/24, можно сделать в таблице, если нужно только для определенных адресов

log ip from... будет записывать в файл /var/log/security пакеты попадающие под это правило

table\(1\) - тут адреса одноклассников или вконтакте или другой чепухи

$local_if - интерфейс в локальную сеть

log ip from... будет записывать в файл /var/log/security пакеты попадающие под это правило. Так в команде  log tcp from -это очапятка или всё верно? 

[...sirius 3]

 

fwd 127.0.0.1,8080 log tcp from $local_net to table\(1\) in recv $local_if

 

первое 127.0.0.1,8080 тут адрес, куда перенаправлять пакеты(этот же сервер или другой)

$local_net ваша внутренняя локалка, например 192.168.0.0/24, можно сделать в таблице, если нужно только для определенных адресов

log ip from... будет записывать в файл /var/log/security пакеты попадающие под это правило

table\(1\) - тут адреса одноклассников или вконтакте или другой чепухи

$local_if - интерфейс в локальную сеть

log ip from... будет записывать в файл /var/log/security пакеты попадающие под это правило. Так в команде  log tcp from -это очапятка или всё верно? 

поправил, но суть та же, поставьте сквид и пускайте всех через него и ним фильтруйте одноклассников и другое, еще если у вас свой днс сделайте в нем фейковый адрес для одноклассников.