https://ns.opennet.ru/openforum/vsluhforumID1/91014.html доброе утро, по крайней мере у нас утро. так вот у меня на шлюзе стоит фряха 7, сквид с настроенным доступом по МАК-адресам, ipfw и все такое. хотел закрыть магент через ipfw прописал там вот это чтобы порт егошный закрыть но этот гад все ешё пашет<br>fwcmd="/sbin/ipfw"<br>${fwcmd} add deny from 192.168.0.0/24 to any 2041<br>${fwcmd} add deny from 192.168.0.0/24 to any 2042<br>${fwcmd} add deny from any to 192.168.0.0/24 2041<br>${fwcmd} add deny from any to 192.168.0.0/24 2042<br>подскажите пожалуйста как с ним ешё можно боротся? и ешё, как запретить выход помимо прокси и перенаправить весь трафик только через сквид?<br>кстати это все нужно сделать в ipfw, так что всякие настройки через iptable не предлагать, СПАСИБО!<br> https://ns.opennet.ru/openforum/vsluhforumID1/91014.html#13 Mon, 27 Aug 2012 15:58:51 GMT &gt;[оверквотинг удален]<br>&gt; пашет <br>&gt; fwcmd="/sbin/ipfw" <br>&gt; ${fwcmd} add deny from 192.168.0.0/24 to any 2041 <br>&gt; ${fwcmd} add deny from 192.168.0.0/24 to any 2042 <br>&gt; ${fwcmd} add deny from any to 192.168.0.0/24 2041 <br>&gt; ${fwcmd} add deny from any to 192.168.0.0/24 2042 <br>&gt; подскажите пожалуйста как с ним ешё можно боротся? и ешё, как запретить <br>&gt; выход помимо прокси и перенаправить весь трафик только через сквид?<br>&gt; кстати это все нужно сделать в ipfw, так что всякие настройки через <br>&gt; iptable не предлагать, СПАСИБО!<br><br>РЕШЕНО! А кому интересно вот так:<br>в ipfw содается таблица которая берет свои значения из некого файла, в котором в свою очеред записаны адреса серверов для коннекта агента (в инете их полно). к тому же можно их найти установив в одном из раб.станци агент от майл ру и при входе в него одновременно пользоватся утилитой netstat. Выявление адреса внов вносятся в указанный файл и файрвол перезапускается. Вот и всё. простой способ, но проверенный и рабочий. пользуюсь им уже почти 6 месяцев, не р https://ns.opennet.ru/openforum/vsluhforumID1/91014.html#12 Fri, 25 Feb 2011 11:11:45 GMT БЛИН вт же решение!!! точно я от гнева пропустил суть то, извини брат за глупось, СПАСИБО! так и нужно поступить, ведь так никто никуда не пролазить же! только думаю для этого мне сначало нужно будет потратит не мало времени для изучение всей куче программ которым нужен обход, но все же я добюсь своего наконец. чесно ОГРОМНОЕ СПАСИБО!<br> https://ns.opennet.ru/openforum/vsluhforumID1/91014.html#11 Fri, 25 Feb 2011 10:02:44 GMT &gt;[оверквотинг удален]<br>&gt; не написал в ipfw.conf а набрал на прямую чтобы после перезагурузки <br>&gt; потерялась, если что пойдет не так) <br>&gt; в статье было так: <br>&gt; ${FwCMD} add fwd 127.0.0.1,3128 tcp from ${NetIn}/${NetMask} to any 80 via ${LanOut} <br>&gt; я сделал так: <br>&gt; /sbin/ipfw add fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any 80 via em0 <br>&gt; где em0 -внешный интерфейс <br>&gt; но не помогло, а посути я типа по моему перенаправил же все <br>&gt; проходяший по порту 80 на порт 3128 <br>&gt; я дико извеняюсь но БЛИН что мне делать?<br><br>нет, Вы принципиально не читаете мои сообщения?<br>закрыть доступ в инет мимо прокси, составив (реестр) и добавив исключения для тех программ, которые не умеют работать через прокси, пройти по всем пользователям и настроить браузеры и все остальное, чтобы они использовали прокси.<br><br> https://ns.opennet.ru/openforum/vsluhforumID1/91014.html#10 Fri, 25 Feb 2011 09:38:45 GMT &gt;[оверквотинг удален]<br>&gt; не написал в ipfw.conf а набрал на прямую чтобы после перезагурузки <br>&gt; потерялась, если что пойдет не так) <br>&gt; в статье было так: <br>&gt; ${FwCMD} add fwd 127.0.0.1,3128 tcp from ${NetIn}/${NetMask} to any 80 via ${LanOut} <br>&gt; я сделал так: <br>&gt; /sbin/ipfw add fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any 80 via em0 <br>&gt; где em0 -внешный интерфейс <br>&gt; но не помогло, а посути я типа по моему перенаправил же все <br>&gt; проходяший по порту 80 на порт 3128 <br>&gt; я дико извеняюсь но БЛИН что мне делать?<br><br>PS. а может иск подать в компанию майл.ру...<br> https://ns.opennet.ru/openforum/vsluhforumID1/91014.html#9 Fri, 25 Feb 2011 09:33:23 GMT нутс.. можно конечно плюнуть... только раз уж дело пошла до такого уровня то это уже касается принципа.. да и начальство волнуется что работники много время проводять в агенте, так что я попитался вот что сделать (нашел в инете, только сделал это как временное правила, тоесть не написал в ipfw.conf а набрал на прямую чтобы после перезагурузки потерялась, если что пойдет не так)<br>в статье было так:<br>${FwCMD} add fwd 127.0.0.1,3128 tcp from ${NetIn}/${NetMask} to any 80 via ${LanOut}<br>я сделал так:<br>/sbin/ipfw add fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any 80 via em0<br>где em0 -внешный интерфейс<br>но не помогло, а посути я типа по моему перенаправил же все проходяший по порту 80 на порт 3128<br>я дико извеняюсь но БЛИН что мне делать?<br> https://ns.opennet.ru/openforum/vsluhforumID1/91014.html#8 Fri, 25 Feb 2011 09:07:41 GMT &gt; попитался завернут трафик по тому как вы сказали в правилах ipfw, и <br>&gt; получился так вы и предполагали, точнее агент-то закрылся наглухо, только кроме <br>&gt; него пропали и кое что другое ,<br><br> приведенное мною правило не заворачивает траффик в сквид, а блокирует весь траффик, который идет мимо, естественно, что перестало работать все остальное.<br><br>&gt; например некоторые программы которые <br>&gt; нужны пользователям (они выходят на свои сервера через IP если это <br>&gt; важно) к тому же пинг пропал и вовсе, а наши филиали <br>&gt; которые соеденены с нами посредством VPN-туннелирования тоже несмогут работать... карочи <br>&gt; какая то неразбериха пошла, пришлос все вернуть обратно. <br><br> ну значит Вам необходимо сесть и составить реестр пользователей и ресурсов, к которым им нужен доступ в обход Squid, с указанием IP и портов, чтобы добавить для них разрешающие правила<br><br>&gt; Теперь наверное мне нужно вот что: <br>&gt; 1. либо завернуть все проходящую по портам 80 на порт 3128 (у <br>&gt; меня прокси на этом порту работает) <br><br> завернуть мо https://ns.opennet.ru/openforum/vsluhforumID1/91014.html#7 Fri, 25 Feb 2011 08:20:29 GMT попитался завернут трафик по тому как вы сказали в правилах ipfw, и получился так вы и предполагали, точнее агент-то закрылся наглухо, только кроме него пропали и кое что другое , например некоторые программы которые нужны пользователям (они выходят на свои сервера через IP если это важно) к тому же пинг пропал и вовсе, а наши филиали которые соеденены с нами посредством VPN-туннелирования тоже несмогут работать... карочи какая то неразбериха пошла, пришлос все вернуть обратно. Тепер наверное мне нужно вот что:<br>1. либо завернуть все проходящую по портам 80 на порт 3128 (у меня прокси на этом порту работает)<br>2. либо закрыть агент в самом сквиде как нибуд<br>при втором случае я не получу желаемого резултата, так как могу закрыть только тех у кого есть запись в саом сквиде. что я хочу сказать, понимаете есть пользователи которых нет в сквиде, точнее ихные МАК-адреса отсутсвуют но они почему то могут работать в агенте. вот в чем проблема... короче я конкретно запутался с этим агентом... уже непонимаю что где и к https://ns.opennet.ru/openforum/vsluhforumID1/91014.html#6 Fri, 25 Feb 2011 08:07:14 GMT &gt;&gt;[оверквотинг удален] <br>&gt;&gt;&gt; почти у всех пользователей агент пашет именно мимо. есть какие нибуд <br>&gt;&gt;&gt; идеи? Спасибо все кто помогает <br>&gt;&gt; Я же написал <br>&gt; через ipfw могу проверить только вечером потому как наверника правила вступят в <br>&gt; силу только после перезагрузки сервера что я несмогу сделать пока что. <br><br>Неверно! При добавлении правила можно указать его номер `man ipfw`<br>и добавить его без всяких перезагрузок в любое место<br><br>&gt; И что же возникают вопросики <br>&gt; 1. значить агента такими способами невозможно закрыт?<br><br>ну вообще-то можно, только тогда пострадает не только агент, т.к. придется блокировать порт 443 в диапазоне IP адресов, принадлежащих mail.ru<br><br>&gt; 2. если нелзя в файрволле завернуть все через прокси то люди будуть <br>&gt; бегат мимо его, и тогда зачем я столько мучился настраивать его? <br><br>заставьте всех пользоваться прокси, исключите доступ в инет через NAT, иначе при наличии прямого доступа это борьба с ветрянными мельницами, люди научатся пользоваться внешними прокси серверами и тогда Вас в https://ns.opennet.ru/openforum/vsluhforumID1/91014.html#5 Fri, 25 Feb 2011 06:54:25 GMT &gt;[оверквотинг удален]<br>&gt;&gt; почти у всех пользователей агент пашет именно мимо. есть какие нибуд <br>&gt;&gt; идеи? Спасибо все кто помогает <br>&gt; Я же написал <br>&gt;&gt; запретить доступ напрямую - самый простой способ убрать nat, ну либо первым <br>&gt;&gt; правилом <br>&gt;&gt; add deny ip from LocalNet to not me in via LocalIface <br>&gt; завернуть можно, но увы не все, т.е. если делать прозрачное проксирование то <br>&gt; все равно будет куча проблем, например того-же агента не завернешь!!! Так <br>&gt; что надо определяться, работаем либо только через прокси, либо все-же разрешать <br>&gt; работать напрямую.<br><br>через ipfw могу проверить только вечером потому как наверника правила вступят в силу только после перезагрузки сервера что я несмогу сделать пока что. И что же возникают вопросики<br>1. значить агента такими способами невозможно закрыт?<br>2. если нелзя в файрволле завернуть все через прокси то люди будуть бегат мимо его, и тогда зачем я столько мучился настраивать его?<br>3. FreeBSD не гадится в качестве нормально управляемого сервака?<br>...а ведь я начи