Jump to content

ipfw

Витaлий1

By Витaлий1,
in Software

 Share Followers 0

Recommended Posts

Витaлий1

Витaлий1 0

Posted
Posted (edited)

Всем привет. Нуждаюсь в помощи ,и дельном совете. Прошу сразу простить за возможные тормоза,т.к с fbsd дело иметь начал совсем не давно.

Поставлена задача  ограничить доступ из локалки офисным работникам  к социальным сетям,а именно начать с одноклассников .

 

Есть возможность это сделать на fbsd сервере , средствами ipfw . Идея заключается в том ,чтобы юзвери ломясь на  одноклассники ,

получали баннер ,и их попытка зайти на этот ресурс фиксировалась у меня в фаиле .Поможет fwd ,но синтаксис не понятен...

 

Перелопатил кучу манов,и форумов, так и не разобрался. Помогите плз.. 

Edited by Витaлий1
Link to post
Share on other sites
...sirius

...sirius 3

Posted
Posted (edited)

fwd 127.0.0.1,8080 log tcp from $local_net to table\(1\) in recv $local_if

 

первое 127.0.0.1,8080 тут адрес, куда перенаправлять пакеты(этот же сервер или другой)

$local_net ваша внутренняя локалка, например 192.168.0.0/24, можно сделать в таблице, если нужно только для определенных адресов

log tcp from... будет записывать в файл /var/log/security пакеты попадающие под это правило

table\(1\) - тут адреса одноклассников или вконтакте или другой чепухи

$local_if - интерфейс в локальную сеть

Edited by ...sirius
Link to post
Share on other sites
masters

masters 126

Posted
Posted

Если ресурсы сервера позволяют, можно организовать через прозрачную проксю + режик. У меня данная связочка отлично работала.

Если вообще не заморачиваться - СкайДнс Вам в помошь. Прописывайте его на сервере, как основной ДНС, закрываете юзерам 53й порт в ipfw. И надо позакрывать ip-адреса самого скайднса, чтоб юзеры не смогли установить свой клиент.

Link to post
Share on other sites
Lambert

Lambert 5

Posted
Posted (edited)

так я и сделал, только не с ipfw а с pf:

 

block drop in log quick on $ext_if1 from <banned> to any

 

скрипт, что наполняет таблицу:

 

#!/bin/sh

for row in vk.com audiovkontakte.ru vkontakte.ru vk.ru odnoklasniki.ru ..... и прочий хлам
do
for ip in `dig $row +short | sort`
do
pfctl -t banned -T add $ip 2>&1 > /dev/null
pfctl -f /etc/pf.conf
done
done

 

53 порт наружу закрыт, юзается только локальный резолвер

минус один - через какой-нить анонимайзер можно зайти. Таких умных тут пока что нет, как появятся - придется что-то думать с анализатором контента  :)

Edited by Lambert
Link to post
Share on other sites
asa

asa 5

Posted
Posted

так я и сделал, только не с ipfw а с pf:

 

block drop in log quick on $ext_if1 from <banned> to any

 

скрипт, что наполняет таблицу:

 

#!/bin/sh

 

for row in vk.com audiovkontakte.ru vkontakte.ru vk.ru odnoklasniki.ru ..... и прочий хлам

do

for ip in `dig $row +short | sort`

do

pfctl -t banned -T add $ip 2>&1 > /dev/null

pfctl -f /etc/pf.conf

done

done

 

53 порт наружу закрыт, юзается только локальный резолвер

минус один - через какой-нить анонимайзер можно зайти. Таких умных тут пока что нет, как появятся - придется что-то думать с анализатором контента  :)

имхо закрытие 53го порта никоем образом не спасает от тунелей и проксей

только фильтрация на 7м уровне, только хардкор :)

Link to post
Share on other sites
Ромка

Ромка 567

Posted
Posted

squid3 + squidguard

но опять же от тоннелей не спасет, зато для squidguard есть постоянно пополняемые списки адресов сайтов по категориям. Правда не знаю насколько применимо к freebsd, на  linux работает.

Link to post
Share on other sites
Витaлий1

Витaлий1 0

Posted
  • Author
Posted

fwd 127.0.0.1,8080 log tcp from $local_net to table\(1\) in recv $local_if

 

первое 127.0.0.1,8080 тут адрес, куда перенаправлять пакеты(этот же сервер или другой)

$local_net ваша внутренняя локалка, например 192.168.0.0/24, можно сделать в таблице, если нужно только для определенных адресов

log ip from... будет записывать в файл /var/log/security пакеты попадающие под это правило

table\(1\) - тут адреса одноклассников или вконтакте или другой чепухи

$local_if - интерфейс в локальную сеть

log ip from... будет записывать в файл /var/log/security пакеты попадающие под это правило. Так в команде  log tcp from -это очапятка или всё верно? 

Link to post
Share on other sites
...sirius

...sirius 3

Posted
Posted

 

fwd 127.0.0.1,8080 log tcp from $local_net to table\(1\) in recv $local_if

 

первое 127.0.0.1,8080 тут адрес, куда перенаправлять пакеты(этот же сервер или другой)

$local_net ваша внутренняя локалка, например 192.168.0.0/24, можно сделать в таблице, если нужно только для определенных адресов

log ip from... будет записывать в файл /var/log/security пакеты попадающие под это правило

table\(1\) - тут адреса одноклассников или вконтакте или другой чепухи

$local_if - интерфейс в локальную сеть

log ip from... будет записывать в файл /var/log/security пакеты попадающие под это правило. Так в команде  log tcp from -это очапятка или всё верно? 

поправил, но суть та же, поставьте сквид и пускайте всех через него и ним фильтруйте одноклассников и другое, еще если у вас свой днс сделайте в нем фейковый адрес для одноклассников.

Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share
Followers 0
Go to topic listing

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...