URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 96306
[ Назад ]

Исходное сообщение
"Средствами FreeBSD ограничить доступ программам в Интернет"
Отправлено Антоха , 30-Сен-15 17:16

Всем привет.
На борту шлюз на FreeBSD 10.2: IPFW + Kernel NAT + Unbound + Squid + PPPoE (без ната)
Раздает Инет в локалку, локалка 16 машин, скорость канала всего 150 килобайт в секу.
Нужно зарезать доступ в Интернет всем прогам, кроме Firefox, Chrome. Ну и прочих, что я явно укажу. Средствами FreeBSD, чтобы у клиентов ничего не надо было делать.
Закрытие портов не поможет - винда, например, обновляется через 80 порт. Да много что через него может ломиться, некоторые машины в сети - ноутбуки юзеров, там куча всякого хлама.
В общем - есть идея по заголовкам резать на SQUID..
Есть предложения? Подскажите, куда копать.
Спасибо.
С уважением,
Антон.

Содержание

Средствами FreeBSD ограничить доступ программам в Интернет,universite, 20:40 , 30-Сен-15
Средствами FreeBSD ограничить доступ программам в Интернет,Hammer, 06:48 , 01-Окт-15
- Средствами FreeBSD ограничить доступ программам в Интернет,Антоха, 10:15 , 01-Окт-15
  - Средствами FreeBSD ограничить доступ программам в Интернет,universite, 10:46 , 01-Окт-15
    - Средствами FreeBSD ограничить доступ программам в Интернет,Сергей, 13:12 , 01-Окт-15
      - Средствами FreeBSD ограничить доступ программам в Интернет,Антоха, 13:44 , 01-Окт-15
  - Средствами FreeBSD ограничить доступ программам в Интернет,Hammer, 09:19 , 04-Окт-15
    - Средствами FreeBSD ограничить доступ программам в Интернет,Pahanivo, 13:21 , 04-Окт-15
    - Средствами FreeBSD ограничить доступ программам в Интернет,Антоха, 09:51 , 05-Окт-15
Средствами FreeBSD ограничить доступ программам в Интернет,BarS, 10:42 , 05-Окт-15
- Средствами FreeBSD ограничить доступ программам в Интернет,Антоха, 09:11 , 06-Окт-15

Сообщения в этом обсуждении

"Средствами FreeBSD ограничить доступ программам в Интернет"
Отправлено universite , 30-Сен-15 20:40

Ок. Разрешаю попытаться. Но проги никак не метят исходящие tcp пакеты.

"Средствами FreeBSD ограничить доступ программам в Интернет"
Отправлено Hammer , 01-Окт-15 06:48

Анализируйте трафик и блокируйте удаленные ip

"Средствами FreeBSD ограничить доступ программам в Интернет"
Отправлено Антоха , 01-Окт-15 10:15

> Анализируйте трафик и блокируйте удаленные ip
Не вариант. Запарюсь анализировать и блокировать ip. А завтра клиент на свой домашний ноут поставит новую лабуду, придет в офис, лабуда по 80 порту начнет на новый айпи ломиться... Неее... надо универсальное решение.

"Средствами FreeBSD ограничить доступ программам в Интернет"
Отправлено universite , 01-Окт-15 10:46

>> Анализируйте трафик и блокируйте удаленные ip
> Не вариант. Запарюсь анализировать и блокировать ip. А завтра клиент на свой
> домашний ноут поставит новую лабуду, придет в офис, лабуда по 80
> порту начнет на новый айпи ломиться... Неее... надо универсальное решение.
Напишите свой TCP|IP. C шахматами и поэтессами.

"Средствами FreeBSD ограничить доступ программам в Интернет"
Отправлено Сергей , 01-Окт-15 13:12

Запретите файером все включая форвардинг с 80 порта на squid, в браузерах пропишите сквид и рулите сквидом

"Средствами FreeBSD ограничить доступ программам в Интернет"
Отправлено Антоха , 01-Окт-15 13:44

> Запретите файером все включая форвардинг с 80 порта на squid, в браузерах
> пропишите сквид и рулите сквидом
Неа, хочу прозрачный прокси.:)

"Средствами FreeBSD ограничить доступ программам в Интернет"
Отправлено Hammer , 04-Окт-15 09:19

>> Анализируйте трафик и блокируйте удаленные ip
> Не вариант. Запарюсь анализировать и блокировать ip. А завтра клиент на свой
> домашний ноут поставит новую лабуду, придет в офис, лабуда по 80
> порту начнет на новый айпи ломиться... Неее... надо универсальное решение.
Да Вы лентяй.
Ну разрешите только нужные IP или в сквиде сделайте аксель на основе регулярных выражений

"Средствами FreeBSD ограничить доступ программам в Интернет"
Отправлено Pahanivo , 04-Окт-15 13:21

> Да Вы лентяй.
да там походу не лентяй, там "совсем куку-с" ...

"Средствами FreeBSD ограничить доступ программам в Интернет"
Отправлено Антоха , 05-Окт-15 09:51

> Да Вы лентяй.
Лень - двигатель прогресса.

"Средствами FreeBSD ограничить доступ программам в Интернет"
Отправлено BarS , 05-Окт-15 10:42

>[оверквотинг удален]
> прочих, что я явно укажу. Средствами FreeBSD, чтобы у клиентов ничего
> не надо было делать.
> Закрытие портов не поможет - винда, например, обновляется через 80 порт. Да
> много что через него может ломиться, некоторые машины в сети -
> ноутбуки юзеров, там куча всякого хлама.
> В общем - есть идея по заголовкам резать на SQUID..
> Есть предложения? Подскажите, куда копать.
> Спасибо.
> С уважением,
> Антон.
На клиенте поставь firewall который будет пускать в инет только "Firefox, Chrome".

"Средствами FreeBSD ограничить доступ программам в Интернет"
Отправлено Антоха , 06-Окт-15 09:11

>[оверквотинг удален]
>> не надо было делать.
>> Закрытие портов не поможет - винда, например, обновляется через 80 порт. Да
>> много что через него может ломиться, некоторые машины в сети -
>> ноутбуки юзеров, там куча всякого хлама.
>> В общем - есть идея по заголовкам резать на SQUID..
>> Есть предложения? Подскажите, куда копать.
>> Спасибо.
>> С уважением,
>> Антон.
> На клиенте поставь firewall который будет пускать в инет только "Firefox, Chrome".
Спасибо, конечно, за ответ.. но прочитайте, пожалуйста, название темы. "... средствами FreeBSD"
В общем то нашел как по заголовкам давать на сквиде доступ в инет.. не работает теперь logformat в сквиде.