Автор Тема: Ограничение доступа к интернету (Прочитано 29939 раз)

finashin82 · « : 06.02.2019 09:05:01 »

Здравствуйте!

Подскажите, как лучше решить проблему?

Что нужно сделать:
1) Организовать доступ компов в инет через шлюз
2) Ограничивать иногда доступ к инету некоторых компов или групп

Что сделано:
1) Поставил сервер Samba-DC, NAT, DHCP инет на других компах есть.
2) -
Аутентификации нет. А вот как провернуть ограничение доступа к инету я не знаю. Подскажите оптимальный вариант, чтобы быстро можно было оставлять инет нескольким компам, а другим ограничить инет.
ЗЫ: В линуксе очень слаб.
Спасибо!

asy · « **Ответ #1 :** 06.02.2019 10:06:01 »

Доступ к Интернет ограничить можно только посредством netfiler (такая подсистема ядра, она практически всегда есть, хотя, в принципе, ядро можно собрать и без этого). Для настроек существуют iptables (старый и привычный метод, там в комплекте ещё ebtables и ещё какие-то tables) и nftables (всё ещё в разработке, когда-нибудь вытеснит *tables, может быть даже скоро).

Если же ошибочно считается, что Интернет - это web, то есть ещё Squid. Посредством iptables можно прозрачно завернуть http-трафик на него и там что-то поделать.

Для создания правил *tables есть всякие разные штуки, например alterator-net-iptables. Но это совсем не единственный вариант.

Skull · « **Ответ #2 :** 06.02.2019 10:49:26 »

Цитата: finashin82 от 06.02.2019 09:05:01

2) Ограничивать иногда доступ к инету некоторых компов или групп

http://altlinux.org/ActiveDirectory/Squid

finashin82 · « **Ответ #3 :** 06.02.2019 11:34:37 »

Это можно сделать на другом компе через web ЦУС на сервере?

Skull · « **Ответ #4 :** 06.02.2019 15:22:30 »

Цитата: finashin82 от 06.02.2019 11:34:37

Это можно сделать на другом компе через web ЦУС на сервере?

Пока нет.

finashin82 · « **Ответ #5 :** 07.02.2019 03:48:26 »

Я смотрю все сводится к Squid. Ладно, буду разбираться. Спасибо!

asy · « **Ответ #6 :** 07.02.2019 11:15:25 »

Цитата: finashin82 от 07.02.2019 03:48:26

Я смотрю все сводится к Squid. Ладно, буду разбираться. Спасибо!

Как фильтр http-трафика (и, кстати, и https умеет, только там повозиться надо и почитать) он умеет многое. Практически всё, а остальное можно прицепить к нему сбоку по icap-протоколу (можно c-icap с модулями посмотреть). Потому нет смысла разбираться с чем-то ещё.

Хотя есть nginx. Когда-то он был только web-сервером, а теперь что только не умеет, может и тут можно приспособить.

finashin82 · « **Ответ #7 :** 07.02.2019 12:37:37 »

Да мне много не надо. Вот со Squid немного понятно, а как теперь трафик через Squid пустить? Ни как не получается.

asy · « **Ответ #8 :** 07.02.2019 13:33:10 »

Цитата: finashin82 от 07.02.2019 12:37:37

Да мне много не надо. Вот со Squid немного понятно, а как теперь трафик через Squid пустить? Ни как не получается.

Есть два варианта.

Первый. Squid в обычном режиме. В браузере указать, что надо использовать прокси-сервер, а на шлюзе посредством iptables перекрыть http и https, чтобы не было соблазна мимо прокси работать.

Второй. Squid в прозрачном режиме. В браузере не надо использовать прокси-сервер, а на шлюзе посредством iptables надо завернуть http и https на Squid.

Squid, кажется, можно сразу в обоих режимах запустить на разных портах.

finashin82 · « **Ответ #9 :** 07.02.2019 13:43:09 »

Хочу сделать прозрачный Squid. Я так понимаю, что iptables - это "Ручной режим управления" в меню Брандмауэр в ЦУС (Режим эксперта). А можно это настроить перенаправлением портов в этом же ЦУС?

berkut_174 · « **Ответ #10 :** 07.02.2019 13:46:51 »

Цитата: asy от 07.02.2019 13:33:10

https на Squid

Разве Squid научился прозрачно слать https, ftp и etc ?
Всё равно придётся прописывать настройки прокси в приложениях, это мы проходили...

Цитата: asy от 07.02.2019 13:33:10

Squid, кажется, можно сразу в обоих режимах запустить на разных портах.

Да.

berkut_174 · « **Ответ #11 :** 07.02.2019 13:56:53 »

Хм, здесь https://habr.com/ru/post/267851/ пишут, что типа работает прозрачно перенаправление https. Интересно, если будете проверять и заработает, напишите сюда.

rits · « **Ответ #12 :** 07.02.2019 15:16:43 »

Зайди на шлюз альтов и просмотри таблицу маршрутизации:
iptables -n -L -v --line-numbers
Заблокировать комп 192.168.8.68:
iptables -I FORWARD 2 -s 192.168.8.68 -j DROP
; не -A - добавить в конец, а вставка -I, иначе параметр 2 строчка не сработает.
После перезапуска правила стираются или можно в ручную удалить iptables -D FORWARD 2
Копать в эту сторону. Прописать правила можно здесь наверно ls /etc/net/ifaces/default/fw/iptables/filter/
только перевести fw в ручной режим

asy · « **Ответ #13 :** 07.02.2019 17:08:05 »

Цитата: finashin82 от 07.02.2019 13:43:09

Я так понимаю, что iptables - это "Ручной режим управления" в меню Брандмауэр в ЦУС (Режим эксперта).

iptables - это всегда. Хоть через утилиту в консольке, хоть через ЦУС, хоть через что. Конечный результат всегда будет виден в консольке посредством команд

iptables -nL
iptables -nL -t nat

ЦУС, если ничего не переделали, редактирует правила etcnet (https://www.altlinux.org/Etcnet_Firewall), которые трансформируются при старте всё в те же самые команды iptables.

finashin82 · « **Ответ #14 :** 08.02.2019 04:20:31 »

Если у меня одна сетевая DHCP (для внешнего инета), а другая 192.168.10.1 для внутренней сети(*.*.*.2-254), то все запросы мне нужно перенаправить с 192.168.10.1:80 на 192.168.10.1:3128 (3129). Я правильно понимаю задачу или нет?

Форум сообщества
Альт Линукс