URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 91014
[ Назад ]

Исходное сообщение
"M-Agent"

Отправлено golibshoh , 25-Фев-11 06:12 
доброе утро, по крайней мере у нас утро. так вот у меня на шлюзе стоит фряха 7, сквид с настроенным доступом по МАК-адресам, ipfw и все такое. хотел закрыть магент через ipfw прописал там вот это чтобы порт егошный закрыть но этот гад все ешё пашет
fwcmd="/sbin/ipfw"
${fwcmd} add deny from 192.168.0.0/24 to any 2041
${fwcmd} add deny from 192.168.0.0/24 to any 2042
${fwcmd} add deny from any to 192.168.0.0/24 2041
${fwcmd} add deny from any to 192.168.0.0/24 2042
подскажите пожалуйста как с ним ешё можно боротся? и ешё, как запретить выход помимо прокси и перенаправить весь трафик только через сквид?
кстати это все нужно сделать в ipfw, так что всякие настройки через iptable не предлагать, СПАСИБО!

Содержание

Сообщения в этом обсуждении
"M-Agent"
Отправлено sherlock , 25-Фев-11 07:22 
>[оверквотинг удален]
> пашет
> fwcmd="/sbin/ipfw"
> ${fwcmd} add deny from 192.168.0.0/24 to any 2041
> ${fwcmd} add deny from 192.168.0.0/24 to any 2042
> ${fwcmd} add deny from any to 192.168.0.0/24 2041
> ${fwcmd} add deny from any to 192.168.0.0/24 2042
> подскажите пожалуйста как с ним ешё можно боротся? и ешё, как запретить
> выход помимо прокси и перенаправить весь трафик только через сквид?
> кстати это все нужно сделать в ipfw, так что всякие настройки через
> iptable не предлагать, СПАСИБО!

запретить доступ напрямую - самый простой способ убрать nat, ну либо первым правилом
add deny ip from LocalNet to not me in via LocalIface

а на Squid зарезать агент можно так:

acl MRA_dst dstdomain .mail.ru
acl MRA_domain dstdom_regex jim[0-9]*\.mail\.ru mra\.mail\.ru
acl MRA_method method CONNECT

http_access deny MRA_dst MRA_method
http_access deny MRA_domain


"M-Agent"
Отправлено golibshoh , 25-Фев-11 07:43 
> запретить доступ напрямую - самый простой способ убрать nat, ну либо первым
> правилом
> add deny ip from LocalNet to not me in via LocalIface
> а на Squid зарезать агент можно так:
> acl MRA_dst dstdomain .mail.ru
> acl MRA_domain dstdom_regex jim[0-9]*\.mail\.ru mra\.mail\.ru
> acl MRA_method method CONNECT
> http_access deny MRA_dst MRA_method
> http_access deny MRA_domain

спасибо брат, попробую


"M-Agent"
Отправлено golibshoh , 25-Фев-11 08:10 
>[оверквотинг удален]
>> iptable не предлагать, СПАСИБО!
> запретить доступ напрямую - самый простой способ убрать nat, ну либо первым
> правилом
> add deny ip from LocalNet to not me in via LocalIface
> а на Squid зарезать агент можно так:
> acl MRA_dst dstdomain .mail.ru
> acl MRA_domain dstdom_regex jim[0-9]*\.mail\.ru mra\.mail\.ru
> acl MRA_method method CONNECT
> http_access deny MRA_dst MRA_method
> http_access deny MRA_domain

со сквидом не получилось ничего, даже и не моргнул этот гнида агент. птотм посмотрел с настройках агента и увидел что там не указан прокси сервак. прописал его и агент перестал работать. думаю это значить что до этого он работал мимло прокси, как я и предполагал тепер нужно закрыть его только в ipfw, или ещё лучше суметь перенаправить вес трафик только и только через сквид, потому как думаю почти у всех пользователей агент пашет именно мимо. есть какие нибуд идеи? Спасибо все кто помогает


"M-Agent"
Отправлено sherlock , 25-Фев-11 08:48 
>[оверквотинг удален]
>> http_access deny MRA_dst MRA_method
>> http_access deny MRA_domain
> со сквидом не получилось ничего, даже и не моргнул этот гнида агент.
> птотм посмотрел с настройках агента и увидел что там не указан
> прокси сервак. прописал его и агент перестал работать. думаю это значить
> что до этого он работал мимло прокси, как я и предполагал
> тепер нужно закрыть его только в ipfw, или ещё лучше суметь
> перенаправить вес трафик только и только через сквид, потому как думаю
> почти у всех пользователей агент пашет именно мимо. есть какие нибуд
> идеи? Спасибо все кто помогает

Я же написал
> запретить доступ напрямую - самый простой способ убрать nat, ну либо первым
> правилом
> add deny ip from LocalNet to not me in via LocalIface

завернуть можно, но увы не все, т.е. если делать прозрачное проксирование то все равно будет куча проблем, например того-же агента не завернешь!!! Так что надо определяться, работаем либо только через прокси, либо все-же разрешать работать напрямую.


"M-Agent"
Отправлено golibshoh , 25-Фев-11 09:54 
>[оверквотинг удален]
>> почти у всех пользователей агент пашет именно мимо. есть какие нибуд
>> идеи? Спасибо все кто помогает
> Я же написал
>> запретить доступ напрямую - самый простой способ убрать nat, ну либо первым
>> правилом
>> add deny ip from LocalNet to not me in via LocalIface
> завернуть можно, но увы не все, т.е. если делать прозрачное проксирование то
> все равно будет куча проблем, например того-же агента не завернешь!!! Так
> что надо определяться, работаем либо только через прокси, либо все-же разрешать
> работать напрямую.

через ipfw могу проверить только вечером потому как наверника правила вступят в силу только после перезагрузки сервера что я несмогу сделать пока что. И что же возникают вопросики
1. значить агента такими способами невозможно закрыт?
2. если нелзя в файрволле завернуть все через прокси то люди будуть бегат мимо его, и тогда зачем я столько мучился настраивать его?
3. FreeBSD не гадится в качестве нормально управляемого сервака?
...а ведь я начинал уже влблатся в нее...


"M-Agent"
Отправлено sherlock , 25-Фев-11 11:07 
>>[оверквотинг удален]
>>> почти у всех пользователей агент пашет именно мимо. есть какие нибуд
>>> идеи? Спасибо все кто помогает
>> Я же написал
> через ipfw могу проверить только вечером потому как наверника правила вступят в
> силу только после перезагрузки сервера что я несмогу сделать пока что.

Неверно! При добавлении правила можно указать его номер `man ipfw`
и добавить его без всяких перезагрузок в любое место

> И что же возникают вопросики
> 1. значить агента такими способами невозможно закрыт?

ну вообще-то можно, только тогда пострадает не только агент, т.к. придется блокировать порт 443 в диапазоне IP адресов, принадлежащих mail.ru

> 2. если нелзя в файрволле завернуть все через прокси то люди будуть
> бегат мимо его, и тогда зачем я столько мучился настраивать его?

заставьте всех пользоваться прокси, исключите доступ в инет через NAT, иначе при наличии прямого доступа это борьба с ветрянными мельницами, люди научатся пользоваться внешними прокси серверами и тогда Вас вообще ничто не спасет.

> 3. FreeBSD не гадится в качестве нормально управляемого сервака?
> ...а ведь я начинал уже влблатся в нее...

:-) уверяю Вас, абсолютно все завернуть в прозрачный прокси невозможно!!!!!

ну если только вариант, что у Вас шлюзом WindowsServer с ISA, тогда на каждую машину ставится клиент, который заворачивает в себя весь трафик идущий от клиента в инет и отправляет его ISA серверу, но и тут я не уверен, что 100% написанных программ можно таким способом заставить работать. И дело тут не в том, что у Вас на шлюзе стоит FreeBSD или Linux или что-то еще, а в принципе реализации сетевого обмена каждой конкретной программы которая необходима пользователю.


"M-Agent"
Отправлено golibshoh , 25-Фев-11 11:20 
попитался завернут трафик по тому как вы сказали в правилах ipfw, и получился так вы и предполагали, точнее агент-то закрылся наглухо, только кроме него пропали и кое что другое , например некоторые программы которые нужны пользователям (они выходят на свои сервера через IP если это важно) к тому же пинг пропал и вовсе, а наши филиали которые соеденены с нами посредством VPN-туннелирования тоже несмогут работать... карочи какая то неразбериха пошла, пришлос  все вернуть обратно. Тепер наверное мне нужно вот что:
1. либо завернуть все проходящую по портам 80 на порт 3128 (у меня прокси на этом порту работает)
2. либо закрыть агент в самом сквиде как нибуд
при втором случае я не получу желаемого резултата, так как могу закрыть только тех у кого есть запись в саом сквиде. что я хочу сказать, понимаете есть пользователи которых нет в сквиде, точнее ихные МАК-адреса отсутсвуют но они почему то могут работать в агенте. вот в чем проблема... короче я конкретно запутался с этим агентом... уже непонимаю что где и к чему

"M-Agent"
Отправлено sherlock , 25-Фев-11 12:07 
> попитался завернут трафик по тому как вы сказали в правилах ipfw, и
> получился так вы и предполагали, точнее агент-то закрылся наглухо, только кроме
> него пропали и кое что другое ,

приведенное мною правило не заворачивает траффик в сквид, а блокирует весь траффик, который идет мимо, естественно, что перестало работать все остальное.

> например некоторые программы которые
> нужны пользователям (они выходят на свои сервера через IP если это
> важно) к тому же пинг пропал и вовсе, а наши филиали
> которые соеденены с нами посредством VPN-туннелирования тоже несмогут работать... карочи
> какая то неразбериха пошла, пришлос  все вернуть обратно.

  ну значит Вам необходимо сесть и составить реестр пользователей и ресурсов, к которым им нужен доступ в обход Squid, с указанием IP и портов, чтобы добавить для них разрешающие правила

> Теперь наверное мне нужно вот что:
> 1. либо завернуть все проходящую по портам 80 на порт 3128 (у
> меня прокси на этом порту работает)

завернуть можно, если сам Squid скомпилен с поддержкой такого режима работы, но Вы правильно написали, только то, что идет по порту WWW (80 и ему подобные), все остальное увы надо пропускать напрямую.

> 2. либо закрыть агент в самом сквиде как нибуд
> при втором случае я не получу желаемого резултата, так как могу закрыть
> только тех у кого есть запись в саом сквиде. что я
> хочу сказать, понимаете есть пользователи которых нет в сквиде, точнее ихные
> МАК-адреса отсутсвуют но они почему то могут работать в агенте. вот
> в чем проблема... короче я конкретно запутался с этим агентом... уже
> непонимаю что где и к чему

так может плюнуть? Пусть пользуются.


"M-Agent"
Отправлено golibshoh , 25-Фев-11 12:33 
нутс.. можно конечно плюнуть... только раз уж дело пошла до такого уровня то это уже касается принципа.. да и начальство волнуется что работники много время проводять в агенте, так что я попитался вот что сделать (нашел в инете, только сделал это как временное правила, тоесть не написал в ipfw.conf а набрал на прямую чтобы после перезагурузки потерялась, если что пойдет не так)
в статье было так:
${FwCMD} add fwd 127.0.0.1,3128 tcp from ${NetIn}/${NetMask} to any 80 via ${LanOut}
я сделал так:
/sbin/ipfw add fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any 80 via em0
где em0 -внешный интерфейс
но не помогло, а посути я типа по моему перенаправил же все проходяший по порту 80 на порт 3128
я дико извеняюсь но БЛИН что мне делать?

"M-Agent"
Отправлено golibshoh , 25-Фев-11 12:38 
>[оверквотинг удален]
> не написал в ipfw.conf а набрал на прямую чтобы после перезагурузки
> потерялась, если что пойдет не так)
> в статье было так:
> ${FwCMD} add fwd 127.0.0.1,3128 tcp from ${NetIn}/${NetMask} to any 80 via ${LanOut}
> я сделал так:
> /sbin/ipfw add fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any 80 via em0
> где em0 -внешный интерфейс
> но не помогло, а посути я типа по моему перенаправил же все
> проходяший по порту 80 на порт 3128
> я дико извеняюсь но БЛИН что мне делать?

PS. а может иск подать в компанию майл.ру...


"M-Agent"
Отправлено sherlock , 25-Фев-11 13:02 
>[оверквотинг удален]
> не написал в ipfw.conf а набрал на прямую чтобы после перезагурузки
> потерялась, если что пойдет не так)
> в статье было так:
> ${FwCMD} add fwd 127.0.0.1,3128 tcp from ${NetIn}/${NetMask} to any 80 via ${LanOut}
> я сделал так:
> /sbin/ipfw add fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any 80 via em0
> где em0 -внешный интерфейс
> но не помогло, а посути я типа по моему перенаправил же все
> проходяший по порту 80 на порт 3128
> я дико извеняюсь но БЛИН что мне делать?

нет, Вы принципиально не читаете мои сообщения?
закрыть доступ в инет мимо прокси, составив (реестр) и добавив исключения для тех программ, которые не умеют работать через прокси, пройти по всем пользователям и настроить браузеры и все остальное, чтобы они использовали прокси.


"M-Agent"
Отправлено golibshoh , 25-Фев-11 14:11 
БЛИН вт же решение!!! точно я от гнева пропустил суть то, извини брат за глупось, СПАСИБО! так и нужно поступить, ведь так никто никуда не пролазить же! только думаю для этого мне сначало нужно будет потратит не мало времени для изучение всей куче программ которым нужен обход, но все же я добюсь своего наконец. чесно ОГРОМНОЕ СПАСИБО!

"M-Agent"
Отправлено golibshoh , 27-Авг-12 19:58 
>[оверквотинг удален]
> пашет
> fwcmd="/sbin/ipfw"
> ${fwcmd} add deny from 192.168.0.0/24 to any 2041
> ${fwcmd} add deny from 192.168.0.0/24 to any 2042
> ${fwcmd} add deny from any to 192.168.0.0/24 2041
> ${fwcmd} add deny from any to 192.168.0.0/24 2042
> подскажите пожалуйста как с ним ешё можно боротся? и ешё, как запретить
> выход помимо прокси и перенаправить весь трафик только через сквид?
> кстати это все нужно сделать в ipfw, так что всякие настройки через
> iptable не предлагать, СПАСИБО!

РЕШЕНО! А кому интересно вот так:
в ipfw содается таблица которая берет свои значения из некого файла, в котором в свою очеред записаны адреса серверов для коннекта агента (в инете их полно). к тому же можно их найти установив в одном из раб.станци агент от майл ру и при входе в него одновременно пользоватся утилитой netstat. Выявление адреса внов вносятся в указанный файл и файрвол перезапускается. Вот и всё. простой способ, но проверенный и рабочий. пользуюсь им уже почти 6 месяцев, не разу не провел, к тому же если будет нужно можно и кому то доступ дать. :))