Страница 1 из 1
фильтрация NAT траффика
Добавлено: 2016-11-09 9:57:28
BeginnerBSD
Всем привет!
Требуется осуществить реализацию трех политик доступа в инет через эхотажный шлюз:
boss - все разрешено (тут нет вопросов)
guest - разрешено только некоторые url, остальное запрещено
office - запрещено некоторые url и некоторые рег.выражения в url, остальное разрешено
Поначалу идея была использовать squid, он отлично справляется с этой задачей в непрозрачнном режиме (большой минус), но при попытке перевести его в прозрачный режим к сожалению сквозняком шурует мимо сквида ssl трафик.
Затем я попробовал файерволом резать ip. Также не получилось по двум причинам - а) некоторые имеют одинаковый ip, например google.com, gmail.com и youtube.com b) нельзя банить url по регулярному выражению в нем.
Посоветуйте грамотное несложное решение.
фильтрация NAT траффика
Добавлено: 2016-11-09 10:26:42
LBV
лови инструкцию
https://habrahabr.ru/post/272733/, правда там дебиан, но на фри тож работает, проверял, еще можно резать на уровне DNS, гугли...
фильтрация NAT траффика
Добавлено: 2016-11-09 17:58:38
BeginnerBSD
Спасибо. Почитал, с первого раза ниасилил. Мудрёно там весьма. Да и боюсь, что не справлюсь - код надо править свкида, заново собирать его. А на уровне DNS - это надо свой DNSник поднимать на шлюзе?
фильтрация NAT траффика
Добавлено: 2016-11-09 18:17:30
LBV
Ну править в исходниках ниче не надо, по ссылке берешь инфу как настроить сквид и да, с какими опциями его собрать, т.е. ставишь из портов, а днс да, свой надо
фильтрация NAT траффика
Добавлено: 2016-12-08 19:06:56
BeginnerBSD
В статье написано установить опции компиляции:
--enable-ssl
--enable-ssl-crtd
--with-openssl
Первые две включил, последнюю не нашел:
Код: Выделить всё
[18:59] root@gate2:/usr/ports/www/squid # make showconfig
===> The following configuration options are available for squid-3.5.22:
ARP_ACL=on: ARP/MAC/EUI based authentification
CACHE_DIGESTS=on: Use cache digests
DEBUG=off: Build with extended debugging support
DELAY_POOLS=on: Delay pools (bandwidth limiting)
DOCS=off: Build and/or install documentation
ECAP=off: Loadable content adaptation modules
ESI=off: ESI support
EXAMPLES=off: Build and/or install examples
FOLLOW_XFF=off: Support for the X-Following-For header
FS_AUFS=on: AUFS (threaded-io) support
FS_DISKD=on: DISKD storage engine controlled by separate service
FS_ROCK=off: ROCK storage engine
HTCP=on: HTCP support
ICAP=off: the ICAP client
ICMP=off: ICMP pinging and network measurement
IDENT=on: Ident lookups (RFC 931)
IPV6=off: IPv6 protocol support
KQUEUE=on: Kqueue(2) support
LARGEFILE=on: Support large (>2GB) cache and log files
LAX_HTTP=off: Do not enforce strict HTTP compliance
NETTLE=off: Nettle MD5 algorithm support
SNMP=on: SNMP support
SSL=on: SSL gatewaying support
SSL_CRTD=on: Use ssl_crtd to handle SSL cert requests
STACKTRACES=off: Enable automatic backtraces on fatal errors
VIA_DB=off: Forward/Via database
WCCP=on: Web Cache Coordination Protocol
WCCPV2=on: Web Cache Coordination Protocol v2
====> Authentication helpers
AUTH_LDAP=off: Install LDAP authentication helpers
AUTH_NIS=off: Install NIS/YP authentication helpers
AUTH_SASL=off: Install SASL authentication helpers
AUTH_SQL=off: Install SQL based auth
====> GSSAPI Security API support: you have to select exactly one of them
GSSAPI_NONE=off: Disable GSSAPI support
GSSAPI_BASE=on: GSSAPI support via base system (Kerberos required)
GSSAPI_HEIMDAL=off: GSSAPI support via security/heimdal
GSSAPI_MIT=off: GSSAPI support via security/krb5
====> Samba authentication helpers: you can only select none or one of them
AUTH_SMB3=off: Install SMB3 auth. helpers (req. net/samba36)
AUTH_SMB4=off: Install SMB4 auth. helpers (req. net/samba42)
====> Options available for the radio FW: you can only select none or one of them
TP_IPF=off: Transparent proxying with IPFilter
TP_IPFW=off: Transparent proxying with IPFW
TP_PF=on: Transparent proxying with PF
===> Use 'make config' to modify these settings