фильтрация NAT траффика

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
BeginnerBSD
рядовой
Сообщения: 40
Зарегистрирован: 2014-09-26 18:45:58

фильтрация NAT траффика

Непрочитанное сообщение BeginnerBSD » 2016-11-09 9:57:28

Всем привет!

Требуется осуществить реализацию трех политик доступа в инет через эхотажный шлюз:
boss - все разрешено (тут нет вопросов)
guest - разрешено только некоторые url, остальное запрещено
office - запрещено некоторые url и некоторые рег.выражения в url, остальное разрешено

Поначалу идея была использовать squid, он отлично справляется с этой задачей в непрозрачнном режиме (большой минус), но при попытке перевести его в прозрачный режим к сожалению сквозняком шурует мимо сквида ssl трафик.

Затем я попробовал файерволом резать ip. Также не получилось по двум причинам - а) некоторые имеют одинаковый ip, например google.com, gmail.com и youtube.com b) нельзя банить url по регулярному выражению в нем.

Посоветуйте грамотное несложное решение.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

LBV
ефрейтор
Сообщения: 60
Зарегистрирован: 2014-09-03 10:18:00

фильтрация NAT траффика

Непрочитанное сообщение LBV » 2016-11-09 10:26:42

лови инструкцию https://habrahabr.ru/post/272733/, правда там дебиан, но на фри тож работает, проверял, еще можно резать на уровне DNS, гугли...

BeginnerBSD
рядовой
Сообщения: 40
Зарегистрирован: 2014-09-26 18:45:58

фильтрация NAT траффика

Непрочитанное сообщение BeginnerBSD » 2016-11-09 17:58:38

Спасибо. Почитал, с первого раза ниасилил. Мудрёно там весьма. Да и боюсь, что не справлюсь - код надо править свкида, заново собирать его. А на уровне DNS - это надо свой DNSник поднимать на шлюзе?

LBV
ефрейтор
Сообщения: 60
Зарегистрирован: 2014-09-03 10:18:00

фильтрация NAT траффика

Непрочитанное сообщение LBV » 2016-11-09 18:17:30

Ну править в исходниках ниче не надо, по ссылке берешь инфу как настроить сквид и да, с какими опциями его собрать, т.е. ставишь из портов, а днс да, свой надо

BeginnerBSD
рядовой
Сообщения: 40
Зарегистрирован: 2014-09-26 18:45:58

фильтрация NAT траффика

Непрочитанное сообщение BeginnerBSD » 2016-12-08 19:06:56

В статье написано установить опции компиляции:
--enable-ssl
--enable-ssl-crtd
--with-openssl
Первые две включил, последнюю не нашел:

Код: Выделить всё

[18:59] root@gate2:/usr/ports/www/squid # make showconfig
===> The following configuration options are available for squid-3.5.22:
     ARP_ACL=on: ARP/MAC/EUI based authentification
     CACHE_DIGESTS=on: Use cache digests
     DEBUG=off: Build with extended debugging support
     DELAY_POOLS=on: Delay pools (bandwidth limiting)
     DOCS=off: Build and/or install documentation
     ECAP=off: Loadable content adaptation modules
     ESI=off: ESI support
     EXAMPLES=off: Build and/or install examples
     FOLLOW_XFF=off: Support for the X-Following-For header
     FS_AUFS=on: AUFS (threaded-io) support
     FS_DISKD=on: DISKD storage engine controlled by separate service
     FS_ROCK=off: ROCK storage engine
     HTCP=on: HTCP support
     ICAP=off: the ICAP client
     ICMP=off: ICMP pinging and network measurement
     IDENT=on: Ident lookups (RFC 931)
     IPV6=off: IPv6 protocol support
     KQUEUE=on: Kqueue(2) support
     LARGEFILE=on: Support large (>2GB) cache and log files
     LAX_HTTP=off: Do not enforce strict HTTP compliance
     NETTLE=off: Nettle MD5 algorithm support
     SNMP=on: SNMP support
     SSL=on: SSL gatewaying support
     SSL_CRTD=on: Use ssl_crtd to handle SSL cert requests
     STACKTRACES=off: Enable automatic backtraces on fatal errors
     VIA_DB=off: Forward/Via database
     WCCP=on: Web Cache Coordination Protocol
     WCCPV2=on: Web Cache Coordination Protocol v2
====> Authentication helpers
     AUTH_LDAP=off: Install LDAP authentication helpers
     AUTH_NIS=off: Install NIS/YP authentication helpers
     AUTH_SASL=off: Install SASL authentication helpers
     AUTH_SQL=off: Install SQL based auth
====> GSSAPI Security API support: you have to select exactly one of them
     GSSAPI_NONE=off: Disable GSSAPI support
     GSSAPI_BASE=on: GSSAPI support via base system (Kerberos required)
     GSSAPI_HEIMDAL=off: GSSAPI support via security/heimdal
     GSSAPI_MIT=off: GSSAPI support via security/krb5
====> Samba authentication helpers: you can only select none or one of them
     AUTH_SMB3=off: Install SMB3 auth. helpers (req. net/samba36)
     AUTH_SMB4=off: Install SMB4 auth. helpers (req. net/samba42)
====> Options available for the radio FW: you can only select none or one of them
     TP_IPF=off: Transparent proxying with IPFilter
     TP_IPFW=off: Transparent proxying with IPFW
     TP_PF=on: Transparent proxying with PF
===> Use 'make config' to modify these settings