Перейти до

ipfw

Витaлий1

Від Витaлий1
в Софт

 Share

Рекомендованные сообщения

Витaлий1 Пролетал Мимо

Витaлий1

Опубликовано:
Опубликовано: (відредаговано)

Всем привет. Нуждаюсь в помощи ,и дельном совете. Прошу сразу простить за возможные тормоза,т.к с fbsd дело иметь начал совсем не давно.

Поставлена задача  ограничить доступ из локалки офисным работникам  к социальным сетям,а именно начать с одноклассников .

 

Есть возможность это сделать на fbsd сервере , средствами ipfw . Идея заключается в том ,чтобы юзвери ломясь на  одноклассники ,

получали баннер ,и их попытка зайти на этот ресурс фиксировалась у меня в фаиле .Поможет fwd ,но синтаксис не понятен...

 

Перелопатил кучу манов,и форумов, так и не разобрался. Помогите плз.. 

Відредаговано Витaлий1
...sirius Пролетал Мимо

...sirius

Опубліковано:
Опубліковано: (відредаговано)

fwd 127.0.0.1,8080 log tcp from $local_net to table\(1\) in recv $local_if

 

первое 127.0.0.1,8080 тут адрес, куда перенаправлять пакеты(этот же сервер или другой)

$local_net ваша внутренняя локалка, например 192.168.0.0/24, можно сделать в таблице, если нужно только для определенных адресов

log tcp from... будет записывать в файл /var/log/security пакеты попадающие под это правило

table\(1\) - тут адреса одноклассников или вконтакте или другой чепухи

$local_if - интерфейс в локальную сеть

Відредаговано ...sirius
masters Вампир

masters

Опубліковано:
Опубліковано:

Если ресурсы сервера позволяют, можно организовать через прозрачную проксю + режик. У меня данная связочка отлично работала.

Если вообще не заморачиваться - СкайДнс Вам в помошь. Прописывайте его на сервере, как основной ДНС, закрываете юзерам 53й порт в ipfw. И надо позакрывать ip-адреса самого скайднса, чтоб юзеры не смогли установить свой клиент.

Lambert Оборотень

Lambert

Опубліковано:
Опубліковано: (відредаговано)

так я и сделал, только не с ipfw а с pf:

 

block drop in log quick on $ext_if1 from <banned> to any

 

скрипт, что наполняет таблицу:

 

#!/bin/sh

for row in vk.com audiovkontakte.ru vkontakte.ru vk.ru odnoklasniki.ru ..... и прочий хлам
do
for ip in `dig $row +short | sort`
do
pfctl -t banned -T add $ip 2>&1 > /dev/null
pfctl -f /etc/pf.conf
done
done

 

53 порт наружу закрыт, юзается только локальный резолвер

минус один - через какой-нить анонимайзер можно зайти. Таких умных тут пока что нет, как появятся - придется что-то думать с анализатором контента  :)

Відредаговано Lambert
asa Первая Кровь

asa

Опубліковано:
Опубліковано:

так я и сделал, только не с ipfw а с pf:

 

block drop in log quick on $ext_if1 from <banned> to any

 

скрипт, что наполняет таблицу:

 

#!/bin/sh

 

for row in vk.com audiovkontakte.ru vkontakte.ru vk.ru odnoklasniki.ru ..... и прочий хлам

do

for ip in `dig $row +short | sort`

do

pfctl -t banned -T add $ip 2>&1 > /dev/null

pfctl -f /etc/pf.conf

done

done

 

53 порт наружу закрыт, юзается только локальный резолвер

минус один - через какой-нить анонимайзер можно зайти. Таких умных тут пока что нет, как появятся - придется что-то думать с анализатором контента  :)

имхо закрытие 53го порта никоем образом не спасает от тунелей и проксей

только фильтрация на 7м уровне, только хардкор :)

Ромка Дьявол

Ромка

Опубліковано:
Опубліковано:

squid3 + squidguard

но опять же от тоннелей не спасет, зато для squidguard есть постоянно пополняемые списки адресов сайтов по категориям. Правда не знаю насколько применимо к freebsd, на  linux работает.

Витaлий1 Пролетал Мимо

Витaлий1

Опубліковано:
  • Автор
Опубліковано:

fwd 127.0.0.1,8080 log tcp from $local_net to table\(1\) in recv $local_if

 

первое 127.0.0.1,8080 тут адрес, куда перенаправлять пакеты(этот же сервер или другой)

$local_net ваша внутренняя локалка, например 192.168.0.0/24, можно сделать в таблице, если нужно только для определенных адресов

log ip from... будет записывать в файл /var/log/security пакеты попадающие под это правило

table\(1\) - тут адреса одноклассников или вконтакте или другой чепухи

$local_if - интерфейс в локальную сеть

log ip from... будет записывать в файл /var/log/security пакеты попадающие под это правило. Так в команде  log tcp from -это очапятка или всё верно? 

...sirius Пролетал Мимо

...sirius

Опубліковано:
Опубліковано:

 

fwd 127.0.0.1,8080 log tcp from $local_net to table\(1\) in recv $local_if

 

первое 127.0.0.1,8080 тут адрес, куда перенаправлять пакеты(этот же сервер или другой)

$local_net ваша внутренняя локалка, например 192.168.0.0/24, можно сделать в таблице, если нужно только для определенных адресов

log ip from... будет записывать в файл /var/log/security пакеты попадающие под это правило

table\(1\) - тут адреса одноклассников или вконтакте или другой чепухи

$local_if - интерфейс в локальную сеть

log ip from... будет записывать в файл /var/log/security пакеты попадающие под это правило. Так в команде  log tcp from -это очапятка или всё верно? 

поправил, но суть та же, поставьте сквид и пускайте всех через него и ним фильтруйте одноклассников и другое, еще если у вас свой днс сделайте в нем фейковый адрес для одноклассников.

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
 Share
Перейти до переліку тем

  • Зараз на сторінці   0 користувачів

    • Немає користувачів, що переглядають цю сторінку.
×
×
  • Створити нове...