Заблокировать доступ локальной сети!

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Maxwell
проходил мимо

Заблокировать доступ локальной сети!

Непрочитанное сообщение Maxwell » 2007-11-08 17:11:02

Здрасте! Ребят подскажите кто может!
Короче есть сервер на фрибсд. Для раздачи интернета! Есть внутренняя сеть около 50 компов!
Короче стоит сквид.
Доступ к инету со всей сети есть только у трех человек это VIP лица у них доступ к нету неограниченый и лазят куда хотят!
есть 7-м человек которые лазят тоже куда хотят но есть доступ у них не к всему сайты содержащие слова sex porno и т.д. блокируются!
Есть остальные у которых доступ только на один сайт!
Все это реализовано в сквиде! ходят они все через проксик внутренний 192.168.0.1 порт 3128!

Так вот недавно обнаружился факт в том что люди прописывают адрес ДНС тоесть адрес прова и порт 8080 в прокси и свободно лазят где угодно в обход сервера! Приказ директора убрать эту возможность! Раньше эта возможность была заблокирована, но недавно меняли локалку, и вот дырка открылась!

Короче нужно запретить все другие проксики что-бы все рулили через внутренний тоесть через сквиду! Что-бы она разрешала кому ходить кому нет!

Дело в том что айтишник который поставил сервер на фри уволился а у меня опыта мало в такой системе! Фри же работает просто супер и с своими функциями справляется, жаль будет её сносить что-бы поставить майкросовтовский сервант.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: Заблокировать доступ локальной сети!

Непрочитанное сообщение schizoid » 2007-11-08 17:14:00

пошукай в фаерволе. посмотри какая сеть была, и какая стала...сделай выводы.
ядерный взрыв...смертельно красиво...жаль, что не вечно...

Гость
проходил мимо

Re: Заблокировать доступ локальной сети!

Непрочитанное сообщение Гость » 2007-11-08 17:35:53

Вот я так понимаю здесь нужно поменять:
# set these to your outside interface network and netmask and ip
oif="ed0" -Здесь нужно поменять на rl0 тоесть на ту карту которая смотрит в мир
onet="192.0.2.0"
omask="255.255.255.240"
oip="192.0.2.1"

# set these to your inside interface network and netmask and ip
iif="fxp0" - Здесь на sk0 тоесть карту которая смотрит внутри!
inet="192.168.0.0"
imask="255.255.255.0"
iip="192.168.0.127"

И вот здесь на что менять нада:

############
# Only in rare cases do you want to change these rules
#
${fwcmd} add 100 pass all from any to any via lo0 - нужно менять?
${fwcmd} add 200 deny all from any to 127.0.0.0/8
${fwcmd} add 300 deny ip from 127.0.0.0/8 to any

Вот мой ifconfig
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
options=8<VLAN_MTU>
inet6 fe80::250:fcff:fee1:ad75%rl0 prefixlen 64 scopeid 0x1
inet XX.XXX.XXX.XX netmask 0xfffffffc broadcast XX.XXX.XXX.XX - айпи внешний срыл по соображениям!
ether 00:50:fc:e1:ad:75
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
sk0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
options=8<VLAN_MTU>
inet6 fe80::20a:5eff:fe5c:c74d%sk0 prefixlen 64 scopeid 0x2
inet 192.168.0.1 netmask 0xffffff00 broadcast 192.168.0.255
ether 00:0a:5e:5c:c7:4d
media: Ethernet autoselect (100baseTX <full-duplex,flag0,flag1>)
status: active
fxp0: flags=8802<BROADCAST,SIMPLEX,MULTICAST> mtu 1500
options=8<VLAN_MTU>
ether 00:0c:f1:6e:78:60
media: Ethernet autoselect (none)
status: no carrier
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
inet6 ::1 prefixlen 128
inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4
inet 127.0.0.1 netmask 0xff000000

Гость
проходил мимо

Re: Заблокировать доступ локальной сети!

Непрочитанное сообщение Гость » 2007-11-08 17:48:10

Точнее не то посмотрел! В файрволе все верно! Вот мой rc.firewall
Вроде все нормально!

${fwcmd} add 150 divert 8668 ip from any to any via rl0
${fwcmd} add 100 unreach port tcp from any to me dst-port 21 in via rl0
${fwcmd} add 102 unreach port tcp from any to me dst-port 25 in via rl0
${fwcmd} add 103 unreach port udp from any to me dst-port 137 in via rl0
${fwcmd} add 104 unreach port tcp from any to me dst-port 137 in via rl0
${fwcmd} add 105 unreach port tcp from any to me dst-port 138 in via rl0
${fwcmd} add 106 unreach port tcp from any to me dst-port 139 in via rl0
${fwcmd} add 107 unreach port tcp from any to me dst-port 514 in via rl0
${fwcmd} add 108 unreach port tcp from any to me dst-port 901 in via rl0
${fwcmd} add 109 unreach port tcp from any to me dst-port 445 in via rl0
${fwcmd} add 110 unreach port udp from any to me dst-port 138 in via rl0
${fwcmd} add 116 fwd 192.168.0.1,3128 tcp from 192.168.0.0/24 to any 80 via rl0
${fwcmd} add 10 allow ip from any to any via lo0
${fwcmd} add 112 unreach port tcp from any to me dst-port 80 in via rl0
${fwcmd} add 113 unreach port tcp from any to me dst-port 3128 in via rl0
${fwcmd} add 65535 allow ip from any to any

#MRTG

#inet
${fwcmd} add 50 count ip from any to any in via rl0
${fwcmd} add 51 count ip from any to any out via rl0

#local
${fwcmd} add 52 count ip from any to any in via sk0
${fwcmd} add 53 count ip from any to any out via sk0

#max
${fwcmd} add 54 count ip from 192.168.0.3 to me in via sk0
${fwcmd} add 55 count ip from me to 192.168.0.3 out via sk0

#root
${fwcmd} add 56 count ip from 192.168.0.27 to me in via sk0
${fwcmd} add 57 count ip from me to 192.168.0.27 out via sk0

#dima
#${fwcmd} add 58 count ip from 192.168.0.127 to me in via sk0
#${fwcmd} add 59 count ip from me to 192.168.0.127 out via sk0

Гость
проходил мимо

Re: Заблокировать доступ локальной сети!

Непрочитанное сообщение Гость » 2007-11-08 17:55:35

И ещё в rc.conf

правильные интерфейсы стоят в этих настройках?:

Код: Выделить всё

natd_flags="-f /etc/natd.conf"                      -тоесть нат работает с внешней платой 
natd_interface="rl0"

Код: Выделить всё

#Squid
squid_enable="YES"
squid_ip="192.168.0.1"
squid_port="3128"
squid_transp_enable="YES"
squid_transp_interface="sk0"                           - А сквида с внутренней?
Тоесть все у меня вроде нормально настроено но вот все равно пускает через ДНС!
Последний раз редактировалось Alex Keda 2007-11-08 21:13:11, всего редактировалось 1 раз.
Причина: Товарищщи, цените чужое время, юзайте кнопочку [code]...

maxim_bo
проходил мимо
Сообщения: 3
Зарегистрирован: 2007-11-08 20:32:54

Re: Заблокировать доступ локальной сети!

Непрочитанное сообщение maxim_bo » 2007-11-09 14:43:03

Всем спасибо! Разобрался! В фаере запретил просто доступ по портам 8080 и 3128 вроде все работает!

Код: Выделить всё

${fwcmd} add 117 deny tcp from any to any dst-port 8080 via rl0
${fwcmd} add 118 deny tcp from any to any dst-port 3128 via rl0
Кстати кто знает как сделать что-бы ошибка высвечивалась тем кто пытается законектиться по этим портам не через проксик что-бы высвечивало типа: "Че думаешь самый умный?" Или там например "Поздравляю! Вы только что стали счастливым обладателем штрафа на 50 условных енотов!" :D

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: Заблокировать доступ локальной сети!

Непрочитанное сообщение schizoid » 2007-11-09 15:24:12

Код: Выделить всё

ipfw add 117 fwd 192.168.0.1,90 tcp from any to any dst-port 8080,3128 via rl0
где на страничке http://192.168.0.1:90 - страничка со злобным содержанием.
ядерный взрыв...смертельно красиво...жаль, что не вечно...

maxim_bo
проходил мимо
Сообщения: 3
Зарегистрирован: 2007-11-08 20:32:54

Re: Заблокировать доступ локальной сети!

Непрочитанное сообщение maxim_bo » 2007-11-11 0:50:25

Ещё теперь возник вопрос по конфидициальности и утечки инфы! Почти на каждом компе стоит ICQ есть какой софт (сниффер) под freebsd что-бы можно было читать переписку пользователей в сети! И желательно почту! Но с почтой проблема другая есть айпишник определенный - сервер почты корпоративный работает на IBM -ском сервере (Lotus)? по нему почту читать не нужно а только по поп3 и cvng!
Есть идеи у кого? :?