Автор Тема: Ограничение доступа к интернету  (Прочитано 23787 раз)

Оффлайн finashin82

  • Завсегдатай
  • *
  • Сообщений: 15
Здравствуйте!

Подскажите, как лучше решить проблему?

Что нужно сделать:
1) Организовать доступ компов в инет через шлюз
2) Ограничивать иногда доступ к инету некоторых компов или групп

Что сделано:
1) Поставил сервер Samba-DC, NAT, DHCP инет на других компах есть.
2) -
Аутентификации нет. А вот как провернуть ограничение доступа к инету я не знаю. Подскажите оптимальный вариант, чтобы быстро можно было оставлять инет нескольким компам, а другим ограничить инет.
ЗЫ: В линуксе очень слаб.
Спасибо!

Оффлайн asy

  • alt linux team
  • ***
  • Сообщений: 6 444
  • Sunny 273 RUS crew
Re: Ограничение доступа к интернету
« Ответ #1 : 06.02.2019 10:06:01 »
Доступ к Интернет ограничить можно только посредством netfiler (такая подсистема ядра, она практически всегда есть, хотя, в принципе, ядро можно собрать и без этого). Для настроек существуют iptables (старый и привычный метод, там в комплекте ещё ebtables и ещё какие-то tables) и nftables (всё ещё в разработке, когда-нибудь вытеснит *tables, может быть даже скоро).

Если же ошибочно считается, что Интернет - это web, то есть ещё Squid. Посредством iptables можно прозрачно завернуть http-трафик на него и там что-то поделать.

Для создания правил *tables есть всякие разные штуки, например alterator-net-iptables. Но это совсем не единственный вариант.

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 16 945
    • Домашняя страница
    • Email
Re: Ограничение доступа к интернету
« Ответ #2 : 06.02.2019 10:49:26 »
2) Ограничивать иногда доступ к инету некоторых компов или групп
http://altlinux.org/ActiveDirectory/Squid
Андрей Черепанов (cas@)

Оффлайн finashin82

  • Завсегдатай
  • *
  • Сообщений: 15
Re: Ограничение доступа к интернету
« Ответ #3 : 06.02.2019 11:34:37 »
Это можно сделать на другом компе через web ЦУС на сервере?

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 16 945
    • Домашняя страница
    • Email
Re: Ограничение доступа к интернету
« Ответ #4 : 06.02.2019 15:22:30 »
Это можно сделать на другом компе через web ЦУС на сервере?
Пока нет.
Андрей Черепанов (cas@)

Оффлайн finashin82

  • Завсегдатай
  • *
  • Сообщений: 15
Re: Ограничение доступа к интернету
« Ответ #5 : 07.02.2019 03:48:26 »
Я смотрю все сводится к Squid. Ладно, буду разбираться. Спасибо!

Оффлайн asy

  • alt linux team
  • ***
  • Сообщений: 6 444
  • Sunny 273 RUS crew
Re: Ограничение доступа к интернету
« Ответ #6 : 07.02.2019 11:15:25 »
Я смотрю все сводится к Squid. Ладно, буду разбираться. Спасибо!
Как фильтр http-трафика (и, кстати, и https умеет, только там повозиться надо и почитать) он умеет многое. Практически всё, а остальное можно прицепить к нему сбоку по icap-протоколу (можно c-icap с модулями посмотреть). Потому нет смысла разбираться с чем-то ещё.

Хотя есть nginx. Когда-то он был только web-сервером, а теперь что только не умеет, может и тут можно приспособить.
« Последнее редактирование: 07.02.2019 13:33:53 от asy »

Оффлайн finashin82

  • Завсегдатай
  • *
  • Сообщений: 15
Re: Ограничение доступа к интернету
« Ответ #7 : 07.02.2019 12:37:37 »
Да мне много не надо. Вот со Squid немного понятно, а как теперь трафик через Squid пустить? Ни как не получается.

Оффлайн asy

  • alt linux team
  • ***
  • Сообщений: 6 444
  • Sunny 273 RUS crew
Re: Ограничение доступа к интернету
« Ответ #8 : 07.02.2019 13:33:10 »
Да мне много не надо. Вот со Squid немного понятно, а как теперь трафик через Squid пустить? Ни как не получается.
Есть два варианта.

Первый. Squid в обычном режиме. В браузере указать, что надо использовать прокси-сервер, а на шлюзе посредством iptables перекрыть http и https, чтобы не было соблазна мимо прокси работать.

Второй. Squid в прозрачном режиме. В браузере не надо использовать прокси-сервер, а на шлюзе посредством iptables надо завернуть http и https на Squid.

Squid, кажется, можно сразу в обоих режимах запустить на разных портах.
« Последнее редактирование: 07.02.2019 13:34:59 от asy »

Оффлайн finashin82

  • Завсегдатай
  • *
  • Сообщений: 15
Re: Ограничение доступа к интернету
« Ответ #9 : 07.02.2019 13:43:09 »
Хочу сделать прозрачный Squid. Я так понимаю, что iptables - это "Ручной режим управления" в меню Брандмауэр в ЦУС (Режим эксперта). А можно это настроить перенаправлением портов в этом же ЦУС?

Оффлайн berkut_174

  • Мастер
  • ***
  • Сообщений: 6 252
    • Email
Re: Ограничение доступа к интернету
« Ответ #10 : 07.02.2019 13:46:51 »
https на Squid
Разве Squid научился прозрачно слать https, ftp и etc ?
Всё равно придётся прописывать настройки прокси в приложениях, это мы проходили...

Squid, кажется, можно сразу в обоих режимах запустить на разных портах.
Да.
Сноси Винду, переходи на Линукс ! :)

Оффлайн berkut_174

  • Мастер
  • ***
  • Сообщений: 6 252
    • Email
Re: Ограничение доступа к интернету
« Ответ #11 : 07.02.2019 13:56:53 »
Хм, здесь https://habr.com/ru/post/267851/ пишут, что типа работает прозрачно перенаправление https. Интересно, если будете проверять и заработает, напишите сюда.
Сноси Винду, переходи на Линукс ! :)

Оффлайн rabochyITs

  • Давно тут
  • **
  • Сообщений: 287
  • Евгений
Re: Ограничение доступа к интернету
« Ответ #12 : 07.02.2019 15:16:43 »
Зайди на шлюз альтов и просмотри таблицу маршрутизации:
 iptables -n -L -v --line-numbers
Заблокировать комп 192.168.8.68:
iptables -I FORWARD 2 -s 192.168.8.68 -j DROP
; не -A - добавить в конец, а вставка -I, иначе параметр 2 строчка не сработает.
После перезапуска правила стираются или можно в ручную удалить  iptables -D FORWARD 2
Копать в эту сторону. Прописать правила можно здесь наверно ls /etc/net/ifaces/default/fw/iptables/filter/
только перевести fw в ручной режим

Оффлайн asy

  • alt linux team
  • ***
  • Сообщений: 6 444
  • Sunny 273 RUS crew
Re: Ограничение доступа к интернету
« Ответ #13 : 07.02.2019 17:08:05 »
Я так понимаю, что iptables - это "Ручной режим управления" в меню Брандмауэр в ЦУС (Режим эксперта).
iptables - это всегда. Хоть через утилиту в консольке, хоть через ЦУС, хоть через что. Конечный результат всегда будет виден в консольке посредством команд

iptables -nL
iptables -nL -t nat

ЦУС, если ничего не переделали, редактирует правила etcnet (https://www.altlinux.org/Etcnet_Firewall), которые трансформируются при старте всё в те же самые команды iptables.

Оффлайн finashin82

  • Завсегдатай
  • *
  • Сообщений: 15
Re: Ограничение доступа к интернету
« Ответ #14 : 08.02.2019 04:20:31 »
Если у меня одна сетевая DHCP (для внешнего инета), а другая 192.168.10.1 для внутренней сети(*.*.*.2-254), то все запросы мне нужно перенаправить с 192.168.10.1:80 на 192.168.10.1:3128 (3129). Я правильно понимаю задачу или нет?