Внутри сети есть FreeBSD 7.2 с настроеным squid 3.0.19 (прозрачный)+pf который заворачивает трафик на прокси (сквид собран с поддержкой PF)
Хочу закрыть весь трафик, но открыть только для вебсёрфинга
вот конфиг pf
Код: Выделить всё
int_if="em0" # внутренний интерфейс, который "смотрит" ко мне в домашнюю локалку.
icmp_types="{ echoreq, unreach}" ## разрешенные типы icmp сообщений.
trusted_lan="192.168.1.0/24" ## доверенная домашняя локалка
set loginterface $int_if
set skip on le0
scrub in all
rdr on $int_if proto tcp from $trusted_lan to any port 80 -> 127.0.0.1 port 3128 # заворачиваем трафик на прокси
block all ## запрет всего по-умолчанию
pass in on $int_if proto tcp from any to $int_if port 22 #пропускаем SSH
хотя в логах сквида (access.log) пишет
Код: Выделить всё
1253801104.193 406 192.168.1.200 TCP_MISS/200 5208 GET http://www.ya.ru/ - DIRECT/93.158.134.8 text/html
Как я понял в первом случае(при block all) траффик завернулся на сквид но от сквида до меня блокировка идёт)
Может у кого есть тоже внутри сети такое же чудо? подскажите плиз
И ещё: как блокировать определённые сайты по доменным именам я ввёл в правила pf вот что
Код: Выделить всё
blocked_sites = "{ odnoklassniki.ru, mail.ru }"
block in on $int_if from $trusted_lan to $blocked_sites
block out on $int_if from $trusted_lan to $blocked_sites