Всем привет!
Требуется осуществить реализацию трех политик доступа в инет через эхотажный шлюз:
boss - все разрешено (тут нет вопросов)
guest - разрешено только некоторые url, остальное запрещено
office - запрещено некоторые url и некоторые рег.выражения в url, остальное разрешено
Поначалу идея была использовать squid, он отлично справляется с этой задачей в непрозрачнном режиме (большой минус), но при попытке перевести его в прозрачный режим к сожалению сквозняком шурует мимо сквида ssl трафик.
Затем я попробовал файерволом резать ip. Также не получилось по двум причинам - а) некоторые имеют одинаковый ip, например google.com, gmail.com и youtube.com b) нельзя банить url по регулярному выражению в нем.
Посоветуйте грамотное несложное решение.
фильтрация NAT траффика
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
LBV
- ефрейтор
- Сообщения: 60
- Зарегистрирован: 2014-09-03 10:18:00
фильтрация NAT траффика
лови инструкцию https://habrahabr.ru/post/272733/, правда там дебиан, но на фри тож работает, проверял, еще можно резать на уровне DNS, гугли...
-
BeginnerBSD
- рядовой
- Сообщения: 40
- Зарегистрирован: 2014-09-26 18:45:58
фильтрация NAT траффика
Спасибо. Почитал, с первого раза ниасилил. Мудрёно там весьма. Да и боюсь, что не справлюсь - код надо править свкида, заново собирать его. А на уровне DNS - это надо свой DNSник поднимать на шлюзе?
-
LBV
- ефрейтор
- Сообщения: 60
- Зарегистрирован: 2014-09-03 10:18:00
фильтрация NAT траффика
Ну править в исходниках ниче не надо, по ссылке берешь инфу как настроить сквид и да, с какими опциями его собрать, т.е. ставишь из портов, а днс да, свой надо
-
BeginnerBSD
- рядовой
- Сообщения: 40
- Зарегистрирован: 2014-09-26 18:45:58
фильтрация NAT траффика
В статье написано установить опции компиляции:
Первые две включил, последнюю не нашел:--enable-ssl
--enable-ssl-crtd
--with-openssl
Код: Выделить всё
[18:59] root@gate2:/usr/ports/www/squid # make showconfig
===> The following configuration options are available for squid-3.5.22:
ARP_ACL=on: ARP/MAC/EUI based authentification
CACHE_DIGESTS=on: Use cache digests
DEBUG=off: Build with extended debugging support
DELAY_POOLS=on: Delay pools (bandwidth limiting)
DOCS=off: Build and/or install documentation
ECAP=off: Loadable content adaptation modules
ESI=off: ESI support
EXAMPLES=off: Build and/or install examples
FOLLOW_XFF=off: Support for the X-Following-For header
FS_AUFS=on: AUFS (threaded-io) support
FS_DISKD=on: DISKD storage engine controlled by separate service
FS_ROCK=off: ROCK storage engine
HTCP=on: HTCP support
ICAP=off: the ICAP client
ICMP=off: ICMP pinging and network measurement
IDENT=on: Ident lookups (RFC 931)
IPV6=off: IPv6 protocol support
KQUEUE=on: Kqueue(2) support
LARGEFILE=on: Support large (>2GB) cache and log files
LAX_HTTP=off: Do not enforce strict HTTP compliance
NETTLE=off: Nettle MD5 algorithm support
SNMP=on: SNMP support
SSL=on: SSL gatewaying support
SSL_CRTD=on: Use ssl_crtd to handle SSL cert requests
STACKTRACES=off: Enable automatic backtraces on fatal errors
VIA_DB=off: Forward/Via database
WCCP=on: Web Cache Coordination Protocol
WCCPV2=on: Web Cache Coordination Protocol v2
====> Authentication helpers
AUTH_LDAP=off: Install LDAP authentication helpers
AUTH_NIS=off: Install NIS/YP authentication helpers
AUTH_SASL=off: Install SASL authentication helpers
AUTH_SQL=off: Install SQL based auth
====> GSSAPI Security API support: you have to select exactly one of them
GSSAPI_NONE=off: Disable GSSAPI support
GSSAPI_BASE=on: GSSAPI support via base system (Kerberos required)
GSSAPI_HEIMDAL=off: GSSAPI support via security/heimdal
GSSAPI_MIT=off: GSSAPI support via security/krb5
====> Samba authentication helpers: you can only select none or one of them
AUTH_SMB3=off: Install SMB3 auth. helpers (req. net/samba36)
AUTH_SMB4=off: Install SMB4 auth. helpers (req. net/samba42)
====> Options available for the radio FW: you can only select none or one of them
TP_IPF=off: Transparent proxying with IPFilter
TP_IPFW=off: Transparent proxying with IPFW
TP_PF=on: Transparent proxying with PF
===> Use 'make config' to modify these settings