Автор Тема: Ограничение доступа к интернету  (Прочитано 23785 раз)

Оффлайн finashin82

  • Завсегдатай
  • *
  • Сообщений: 15
Re: Ограничение доступа к интернету
« Ответ #30 : 09.02.2019 03:38:42 »
Ну у меня изначально была идея такая, что нужно весь трафик завернуть на squid. Там сделать запись (одну из)

acl Group1 src 192.168.10.5-192.168.10.20
http_access allow Group1
http_access deny all

а потом можно при необходимости закомментировать разрешение для Group1 (# http_access allow Group1) и инета не должно быть у Group1. Или это не правильная мысля?

Оффлайн yaleks

  • Мастер
  • ***
  • Сообщений: 4 711
Re: Ограничение доступа к интернету
« Ответ #31 : 09.02.2019 10:10:49 »
для squid в свое время была хороша софтина https://github.com/PavelVinogradov/sams2

Оффлайн asy

  • alt linux team
  • ***
  • Сообщений: 6 444
  • Sunny 273 RUS crew
Re: Ограничение доступа к интернету
« Ответ #32 : 09.02.2019 10:52:55 »
Или это не правильная мысля?
Если речь только про http/https, то правильная. Но если нет речи про фильтрацию самого http-контента (там же и по url можно резать вплоть до отдельных ссылок, и каку-то контент-фильтрацию прикрутить, тот же антивирус), то Squid излишен, достаточно iptables.
« Последнее редактирование: 09.02.2019 10:54:42 от asy »

Оффлайн finashin82

  • Завсегдатай
  • *
  • Сообщений: 15
Re: Ограничение доступа к интернету
« Ответ #33 : 09.02.2019 11:57:49 »
Пока речи про ограничения контента нет, хотя начальство периодически спрашивает о фильтрации. Пока задача минимум, ограничивать инет, а там, по мере того как буду разбираться все больше и больше, вполне и до фильтрации дойдет. Честно говоря, я еще до конца со squid не разобрался, но мне кажется, что там не очень сложно. Мне нравится :)

Оффлайн finashin82

  • Завсегдатай
  • *
  • Сообщений: 15
Re: Ограничение доступа к интернету
« Ответ #34 : 11.02.2019 03:04:38 »
Код: [Выделить]
iptables -t nat -A PREROUTING -p tcp -m tcp --dport 80  -j DNAT --to 192.168.10.1:3228
iptables -t nat -A PREROUTING -p tcp -m tcp --dport 443 -j DNAT --to 192.168.10.1:3229
Хотя идущее на 192.168.10.1 это тоже перехватит, на самом деле. Тут по обстоятельствам. Если доступ к web-серверу на шлюзе нужен, то надо в правиле указать исключение, если нет, можно забить. Доступ к ЦУС на 8080, его так не зацепит.

То есть, как-то вот так надо в конфиге написать:
Код: [Выделить]
http_port 3128
http_port 3228 intercept

https_port 3129
https_port 3229 intercept

настройки помогли, и теперь http идет через squid и блокируется так как и хотелось, а вот https в браузере клиентов выдает ssl_error_rx_record_too_long

Оффлайн finashin82

  • Завсегдатай
  • *
  • Сообщений: 15
Re: Ограничение доступа к интернету
« Ответ #35 : 12.02.2019 02:36:19 »
В общем, подводя итог, решил оставить так: пока без squid, т.к. https не работает, а блокировку компов делать в iptables, как и говорили ранее умные люди. А когда прижмет нужда, тогда и буду разбираться с остальным. Всем спасибо.

ЗЫ: Я очень надеюсь, что когда нибудь ЦУС доведут до ума, чтобы не пришлось перелопачивать горы непонятных слов, а все было централизовано.

Оффлайн asy

  • alt linux team
  • ***
  • Сообщений: 6 444
  • Sunny 273 RUS crew
Re: Ограничение доступа к интернету
« Ответ #36 : 12.02.2019 10:13:26 »
В общем, подводя итог, решил оставить так: пока без squid, т.к. https не работает, а блокировку компов делать в iptables, как и говорили ранее умные люди. А когда прижмет нужда, тогда и буду разбираться с остальным. Всем спасибо.
На всякий случай. Есть слова, которые могут оказаться интересны:
  • ipset - модуль для iptables, позволяющий задавать группы IP-адресов. Можно и без ipset, несколькими правилами iptables, но скорость задания правил и обработки трафика различаются крайне сильно. Хотя на паре десятков IP визуально заметно не будет скорее всего. Плюс есть возможность задать время жизни адреса в списке.
  • ipt_netflow - модуль для iptables, сенсор трафика; можно лить на коллектор.
  • nfdump - коллектор netflow (точнее, это пакет, сам коллектор там nfcapd)
  • nfsen (в репозитории отсутствует) - web-смотрелка того, что насобирает nfcapd (хотя в консольке можно смотреть и nfdump-ом)
Netflow - штука стандартная на самом деле, изначально придуман в Cisco, затем стандартизирован, умеют и многие железки, и nfdump - не единственный коллектор.
ЗЫ: Я очень надеюсь, что когда нибудь ЦУС доведут до ума, чтобы не пришлось перелопачивать горы непонятных слов, а все было централизовано.
Вряд ли в ЦУС когда-либо будет реализовываться что-то непримитивное.

Оффлайн finashin82

  • Завсегдатай
  • *
  • Сообщений: 15
Re: Ограничение доступа к интернету
« Ответ #37 : 12.02.2019 11:13:14 »
На всякий случай. Есть слова, которые могут оказаться интересны:
Спасибо. Буду посмотреть. :)

Вряд ли в ЦУС когда-либо будет реализовываться что-то непримитивное.
Очень жаль.

Оффлайн asy

  • alt linux team
  • ***
  • Сообщений: 6 444
  • Sunny 273 RUS crew
Re: Ограничение доступа к интернету
« Ответ #38 : 12.02.2019 11:31:24 »
Вряд ли в ЦУС когда-либо будет реализовываться что-то непримитивное.
Очень жаль.
Кстати, а что такое ЦУС сейчас? Вот про это речь https://www.altlinux.org/Alterator ?

Ну и вот мой вопрос говорит об "обязательности" наличия в системе. :-)

Оффлайн finashin82

  • Завсегдатай
  • *
  • Сообщений: 15
Re: Ограничение доступа к интернету
« Ответ #39 : 12.02.2019 15:45:36 »
Да, что-то подобное.