Разрешить только определенным программам Интернет

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Антоха
рядовой
Сообщения: 33
Зарегистрирован: 2015-09-28 10:50:47

Разрешить только определенным программам Интернет

Непрочитанное сообщение Антоха » 2015-09-30 10:57:34

Доброго времени суток.

Есть ли возможность средствами шлюза FreeBSD разрешить доступ в Интернет только определенным программам у клиентов Windows?
Конкретно, тольок браузеры, только через порты 80 и 443.
Винда, например, обноляется через порты 80.. мне вот нужно, чтобы ничего, кроме бразуеров в инет не ломилось.
Есть сквид.. Может по заголовкам как-то?..

Есть идеи?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
trubb
лейтенант
Сообщения: 865
Зарегистрирован: 2005-03-16 17:42:26
Откуда: сами мы не местные, приехали на лечение

Разрешить только определенным программам Интернет

Непрочитанное сообщение trubb » 2015-09-30 11:45:52

нихрена не выйдет - умельцы в днс-трафик умудрялись ип-пакеты запихивать, stun тоже падла любую дырочку наружу ищет
имха на клиенте это все делать надо...

както баловался на касперском бизнес - тот мог рубить сетевую активность по процессам винды,
tmeter вроде тоже может фильтры делать по имени процесса

Отправлено спустя 16 минут 48 секунд:
layer7 вроде как не доделан еще
иГрАюВсТрАйКбОл!

Антоха
рядовой
Сообщения: 33
Зарегистрирован: 2015-09-28 10:50:47

Разрешить только определенным программам Интернет

Непрочитанное сообщение Антоха » 2015-09-30 17:11:28

умельцы в днс-трафик умудрялись ип-пакеты запихивать
Ну скажем, клиенты (то есть юзеры), не будут чудить. Если Вы об этом, конечно:) Задумка исключительно в целях экономии траффика. Канал всего 150 килобайт в секу на 16 пользователей.

Аватара пользователя
kharkov_max
капитан
Сообщения: 1811
Зарегистрирован: 2008-10-03 14:56:40

Разрешить только определенным программам Интернет

Непрочитанное сообщение kharkov_max » 2015-09-30 17:32:47

можно по заголовкам в сквид, но придется всем юзать один браузер, точнее желательно... и как минимум skype пойдет лесом.

Антоха
рядовой
Сообщения: 33
Зарегистрирован: 2015-09-28 10:50:47

Разрешить только определенным программам Интернет

Непрочитанное сообщение Антоха » 2015-09-30 20:34:29

Даа уже прочитал интересную тему на форуме про тимвьювер, здесь, на лиссяре.
Если точнее указывать заголовки, с версией и тд, а не просто "mozilla", то скайп тоже пойдет нахер. Да и его нету на машинах юзеров. Буду разбираться.

А вот такой вопрос - допустим, заработает. А есть проги, банк-клиенты там, они тоже ломятся в Интернет. Можно ли в логах прокси посмотреть, какая прога с каким заголовком с какого айпи локалки просится в инет. То есть им надо тоже будет дать инета. Определить заголовок http_user_agent заденаеных программ.

Цель вообще - заблочить всякие автоапдейты.. а то тут типы умудряются на таком канале доту обновлять..

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35288
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Разрешить только определенным программам Интернет

Непрочитанное сообщение Alex Keda » 2015-10-01 7:28:32

А домена, и, соответственно, групповых политик, нету чтоле?
Убей их всех! Бог потом рассортирует...

Антоха
рядовой
Сообщения: 33
Зарегистрирован: 2015-09-28 10:50:47

Разрешить только определенным программам Интернет

Непрочитанное сообщение Антоха » 2015-10-01 10:11:28

Alex Keda писал(а):А домена, и, соответственно, групповых политик, нету чтоле?
Раз уж Вы затронули эту тему, любезный господин, пооффтоплю немного, поясните пожалуйста..
ВинСервер 2008 R2. Но домена нет. И вот хочу всех в домен, само собой, как только шлюз на полную запущу.
Вопрос - у меня в сети 16 машин. Есть XP, Vista, Win7, Win 8.1, Win10; где-то 32, где-то 64 бит; где-то Хоум, где-то Про. Все лицензии. Хоум не может стать участником домена. Есть вариант ручками в реестре разрешить Домашке стать клиентом домена, но вроде как теряется лицензия. Теряется, нет? Знаете?:))
Вообще хочу обновить все до десятки.. так как это будет последняя операционка. Все юзеры на десятке на многие-многие года..

Аватара пользователя
Electronik
капитан
Сообщения: 1593
Зарегистрирован: 2008-11-15 17:32:56
Откуда: Минск
Контактная информация:

Разрешить только определенным программам Интернет

Непрочитанное сообщение Electronik » 2015-10-01 10:28:40

Антоха писал(а): Есть вариант ручками в реестре разрешить Домашке стать клиентом домена, но вроде как теряется лицензия. Теряется, нет? Знаете?:))
Это запрещено лицензионным соглашением, т.е вы его нарушаете, следовательно винда становится нелицензионной.
Антоха писал(а): Вообще хочу обновить все до десятки.. так как это будет последняя операционка.
ой не спишите, намучаетесь, да под ВинСервер 2008 R2 толку от десятки будет никакого. ставьте везде вин7, вам проще жить будет.

Отправлено спустя 10 минут 59 секунд:
Антоха писал(а): Есть ли возможность средствами шлюза FreeBSD разрешить доступ в Интернет только определенным программам у клиентов Windows?
не стоит изобретать велосипед, используйте встроенный в вин7 брандмауэр, что бы везде ручками не настраивать, его можно настроить через групповые политики.
http://wikiwin.info/windows-7-seven/win ... ows-7.html
http://habrahabr.ru/company/microsoft/blog/115538/
Предскажем будущее hw по логам и дампу, снимем сглаз и порчу с рута, поможем придумать пароль(С)
Блог

Антоха
рядовой
Сообщения: 33
Зарегистрирован: 2015-09-28 10:50:47

Разрешить только определенным программам Интернет

Непрочитанное сообщение Антоха » 2015-10-01 10:44:34

Блин.. вот сейчас буквально 10 минут почитал про Home в контроллере домена.. Да.. могут начаться проблемы с сетью, с апдейтами и т.д... а обновлять до про - это около семи тысяч деревянных за машину. На десяток машин - я бы не стал покупать.
Короче - придется отказаться от контроллера домена.
Вообще Windows Server 2008 R2 используется как машина для 1С, все по удаленке RDP с локали цепляются на него и запускают там одинэску.

guest
проходил мимо

Разрешить только определенным программам Интернет

Непрочитанное сообщение guest » 2015-10-01 11:09:02

Антоха писал(а):Блин.. вот сейчас буквально 10 минут почитал про Home в контроллере домена.. Да.. могут начаться проблемы с сетью, с апдейтами и т.д... а обновлять до про - это около семи тысяч деревянных за машину. На десяток машин - я бы не стал покупать.
Короче - придется отказаться от контроллера домена.
Вообще Windows Server 2008 R2 используется как машина для 1С, все по удаленке RDP с локали цепляются на него и запускают там одинэску.
Вы хотите бесплатного или дешевого универсального решения - его нет:
- ни дешевого
- ни тем более бесплатного

У Вас есть, дано:
- роутер FreeBSD, NAT, Squid
- сеть из двух десятков разнокалиберных OS Windows

Вы выпускаете всех клиентов через Squid - и более не заморачиваетесь, только:

- смотрите отчеты по каждой станции и административные меры за превышение трафика.
- free firewall с возможностью фильтрации на уровне L7- Вы не найдете, а платные, Вам не
купить никогда с Вашим бюджетом
- Squid не является фильтром L7
- найдется несколько клиентов, которые не только через Squid не смогут работать
по технологии клиент <-> сервер, но и через NAT
- для простоты управления и настройки, как Вам правильно заметили, наиболее удобный
подход использовать домен с политиками и все одну операционку, Windows 7 на текущий
момент - самый правильный десктоп

Ну а далее - советоваться с провайдером как расширить канал.

ИТ - это комплекс не только технических, но и административных мер, про последнее обычно
не думают или забывают, начинающие, но быстро к этому приходят.

Вот Вам короткое резюме, от которого можно отталкиваться для дальнейшей работы.

Антоха
рядовой
Сообщения: 33
Зарегистрирован: 2015-09-28 10:50:47

Разрешить только определенным программам Интернет

Непрочитанное сообщение Антоха » 2015-10-01 11:57:45

Спасибо, уважаемый Guest.
Вот только что это за несколько клиентов с Натом не смогут работать... ладно.. на днях планирую запускать шлюз, посмотрим, что получится.

guest
проходил мимо

Разрешить только определенным программам Интернет

Непрочитанное сообщение guest » 2015-10-01 12:59:10

Антоха писал(а):Спасибо, уважаемый Guest.
Вот только что это за несколько клиентов с Натом не смогут работать... ладно.. на днях планирую запускать шлюз, посмотрим, что получится.
недо-софт под Windoze - бухгалтерский или еще какой, с использованием ActiveX или еще что,
который пишут без учета возможности работать через NAT.
Не факт что у Вас такое будет, но такое возможно, обычно для работы такого софта - требуются
реальные адреса и выпуск этих станций в Internet.

Удачи

Аватара пользователя
Electronik
капитан
Сообщения: 1593
Зарегистрирован: 2008-11-15 17:32:56
Откуда: Минск
Контактная информация:

Разрешить только определенным программам Интернет

Непрочитанное сообщение Electronik » 2015-10-01 15:49:19

Антоха писал(а): Вообще Windows Server 2008 R2 используется как машина для 1С, все по удаленке RDP с локали цепляются на него и запускают там одинэску.
вы не сможете на нём равзернуть КД. Либо сервер удалённых рабочих столов либо КД.

Посмотрите в сторону OPNSense, для новичка самое то.
undefined писал(а): ИТ - это комплекс не только технических, но и административных мер, про последнее обычно
не думают или забывают, начинающие, но быстро к этому приходят
Я б сказал что чаще всего забИвают))
Предскажем будущее hw по логам и дампу, снимем сглаз и порчу с рута, поможем придумать пароль(С)
Блог

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35288
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Разрешить только определенным программам Интернет

Непрочитанное сообщение Alex Keda » 2015-10-03 19:27:47

Антоха писал(а):
Alex Keda писал(а):А домена, и, соответственно, групповых политик, нету чтоле?
Раз уж Вы затронули эту тему, любезный господин, пооффтоплю немного, поясните пожалуйста..
не надо на меня словами ругательными. товарищщ я, а не господин.
Убей их всех! Бог потом рассортирует...

Антоха
рядовой
Сообщения: 33
Зарегистрирован: 2015-09-28 10:50:47

Разрешить только определенным программам Интернет

Непрочитанное сообщение Антоха » 2015-10-04 18:20:39

товарищщ.. да хоть камрадище епта:))

snorlov
подполковник
Сообщения: 3846
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Разрешить только определенным программам Интернет

Непрочитанное сообщение snorlov » 2015-10-04 19:58:07

Можно самбу 4.1 заюзать вместо 2008 ...

Аватара пользователя
gumeniuc
ст. сержант
Сообщения: 343
Зарегистрирован: 2009-11-08 15:46:05
Откуда: md
Контактная информация:

Разрешить только определенным программам Интернет

Непрочитанное сообщение gumeniuc » 2015-10-05 22:13:39

Electronik писал(а): вы не сможете на нём равзернуть КД. Либо сервер удалённых рабочих столов либо КД.
Не вижу никаких проблем. Сервер в состоянии поддерживать несколько ролей одновременно.
Да шо ему сделается...

Аватара пользователя
Electronik
капитан
Сообщения: 1593
Зарегистрирован: 2008-11-15 17:32:56
Откуда: Минск
Контактная информация:

Разрешить только определенным программам Интернет

Непрочитанное сообщение Electronik » 2015-10-06 3:56:56

Не рекомендуется устанавливать службу роли Узел сеансов удаленных рабочих столов на контроллере домена Active Directory. Предоставление пользователям разрешения запускать программы на контроллере домена может привести к падению производительности и создать угрозу безопасности.
https://technet.microsoft.com/ru-ru/lib ... 42817.aspx
Предскажем будущее hw по логам и дампу, снимем сглаз и порчу с рута, поможем придумать пароль(С)
Блог

Антоха
рядовой
Сообщения: 33
Зарегистрирован: 2015-09-28 10:50:47

Разрешить только определенным программам Интернет

Непрочитанное сообщение Антоха » 2015-10-06 9:37:02

На серваке 8 ядер по 3.4 ГГц Core i7 и 16 гигов RAM
До 12 юзеров 1С - напрягают раму на 60-80%. Думаю, держать еще и контролер - не проблема. Сервак 24/7 онлайн.

snorlov
подполковник
Сообщения: 3846
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Разрешить только определенным программам Интернет

Непрочитанное сообщение snorlov » 2015-10-06 9:51:17

Ну этот вопрос довольно спорный, на мой взгляд он имеет место быть при необходимости пользователей лезть в инет, а если этого нет, то и возникающие проблемы в виде ограничения запуска определенного списка софта можно решить ужесточением политик, в любом случае в последнее время мы ставим винду в виртуальную машину...

Аватара пользователя
gumeniuc
ст. сержант
Сообщения: 343
Зарегистрирован: 2009-11-08 15:46:05
Откуда: md
Контактная информация:

Разрешить только определенным программам Интернет

Непрочитанное сообщение gumeniuc » 2015-10-06 13:17:27

Electronik,

Пожалуй понятия "вы не сможете на нём равзернуть" и "Не рекомендуется устанавливать" несколько отличаются. Да, очень правильно не мешать роли до кучи, но если нет желания покупать доп. лицензии или ресурсы не позволяют, то приходится выкручиваться. Не вижу ничего криминального в этом. Если правильно продумать GPO и членство в группах, ничего плохого не случится.

P.S. Microsoft рекомендует не мешать роли Exchange. Как по мне, так держать 4 сервера исключительно для почты - откровенное барство и далеко не всем по карману.
Да шо ему сделается...

Аватара пользователя
trubb
лейтенант
Сообщения: 865
Зарегистрирован: 2005-03-16 17:42:26
Откуда: сами мы не местные, приехали на лечение

Разрешить только определенным программам Интернет

Непрочитанное сообщение trubb » 2015-10-06 13:57:48

ну есть же редакция сервера essential - там же все в одном флаконе и задешево )))
так что мешать можно...
возвращаясь к теме - повторю - на клиентах это все давить надо...
иГрАюВсТрАйКбОл!

snorlov
подполковник
Сообщения: 3846
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Разрешить только определенным программам Интернет

Непрочитанное сообщение snorlov » 2015-10-06 14:24:06

gumeniuc писал(а): P.S. Microsoft рекомендует не мешать роли Exchange. Как по мне, так держать 4 сервера исключительно для почты - откровенное барство и далеко не всем по карману.
Ну Exchange это отдельная песня....

Аватара пользователя
Electronik
капитан
Сообщения: 1593
Зарегистрирован: 2008-11-15 17:32:56
Откуда: Минск
Контактная информация:

Разрешить только определенным программам Интернет

Непрочитанное сообщение Electronik » 2015-10-06 18:29:22

gumeniuc писал(а): Пожалуй понятия "вы не сможете на нём равзернуть" и "Не рекомендуется устанавливать" несколько отличаются.
Согласен)) Извиняюсь))
gumeniuc писал(а): Да, очень правильно не мешать роли до кучи, но если нет желания покупать доп. лицензии или ресурсы не позволяют, то приходится выкручиваться. Не вижу ничего криминального в этом. Если правильно продумать GPO и членство в группах, ничего плохого не случится.
Тоже вариант, если уж в средствах совсем ограничены, то да.
Лицензии stnadard позволяет запускать одну физическую ОС и одну виртуальную. Так что лучше развернуть КД, а в VM сервер удалённых рабочих столов.
http://download.microsoft.com/documents ... ricing.pdf
страница 9
Предскажем будущее hw по логам и дампу, снимем сглаз и порчу с рута, поможем придумать пароль(С)
Блог

Антоха
рядовой
Сообщения: 33
Зарегистрирован: 2015-09-28 10:50:47

Разрешить только определенным программам Интернет

Непрочитанное сообщение Антоха » 2015-10-07 8:32:46

Попробую прямо на одном серваке поднять актив-директори. Если будет тормозить - откажусь от этого варианта.