https://slinkov.ru/openforum/vsluhforumID1/86508.html Здравствуйте.<br>Я пока плохо знаком с FreeBSD, поэтому извините, если что не так написал.<br><br>Есть машина с FreeBSD.<br>Один интерфейс, назовём его eth0 (10.10.10.1), смотрит в локальную сеть 10.10.10.0 .<br>Второй - eth1 (190.190.190.190), смотрит в Интернет.<br>Клиенты из локальной сети ходят в Интернет через IPFW(divert) + natd.<br>В локальной сети есть Web-сервер (10.10.10.2)<br><br>Я хочу закрыть доступ клиентам локальной сети на внешний сайт some.unwished.site.net.<br><br>Вопрос:<br>Как сделать так, чтоб не просто запретить виход на сайт some.unwished.site.net через IPFW, а перенаправлять клиента на страничку локального Web-сервера (10.10.10.2) (на котором будет уведомление).<br><br>Буду благодарен, если напишите с примером.<br> https://slinkov.ru/openforum/vsluhforumID1/86508.html#14 Wed, 09 Sep 2009 11:51:06 GMT &gt;Но, по-моему, проще всё-таки поднять местер-зону для этого домена в локалке, не <br>&gt;правда ли? <br><br> Чревато кэшем у пользователей, если конечно хотите не навсегда. прозрачным Сквидом проще.<br><br> https://slinkov.ru/openforum/vsluhforumID1/86508.html#13 Wed, 09 Sep 2009 06:24:50 GMT &gt;[оверквотинг удален]<br>&gt;с левый дестанейн айпи да еще и паблик :) И опять <br>&gt;ты не получишь пряник - ибо забыл что при этом пакеты <br>&gt;должны как-то идти обратно, причем с соурс айпи внешнего сервака и <br>&gt;дестанейн айпи клиента. Но при этом все должно идти либо в <br>&gt;локалке, либа через шлюз. Но если в локалке - то как <br>&gt;прастите с разных подсетей? А если через шлюз, то это должно <br>&gt;быть как-то хитро пропущено через NAT, но тут опять жопа потому <br>&gt;что ты забыл исходный пакет прогнать через NAT, но нахрена гонять <br>&gt;через NAT пакеты внутри локалки? <br>&gt;Запутанно, да? ) <br><br>Уважаемый, я это только упомянул здесь - не было времени расписывать весь солюшен (да и повторил то, что boykov описал выше - просто я в спешке не перечитывал изменения в ветко со вчерашнего вечера). Конечно, надо побаловаться с НАТом и айпишками, чтоб всё заработало как надо, но в принципе это реально.<br>Но, по-моему, проще всё-таки поднять местер-зону для этого домена в локалке, не правда ли?<br><br>respect,<br>ronin<br> https://slinkov.ru/openforum/vsluhforumID1/86508.html#12 Wed, 09 Sep 2009 05:49:09 GMT &gt;[оверквотинг удален]<br>&gt;&gt;Буду благодарен, если напишите с примером. <br>&gt;<br>&gt;Забыл упомянуть ещё одну возможность - только средствами ipfw: <br>&gt;<br>&gt;ipfw add fwd 10.10.10.2 ip from 10.10.10.0/24 to some.unwished.site.net any <br>&gt;<br>&gt;Все детали - в man ipfw. <br>&gt;<br>&gt;respect, <br>&gt;ronin <br><br>От какой маладец, но пряник не получишь ибо - ты забыл упомянуть, что при этом на целевой айпи форвардинга надо еще повесить алиас совпадающий с паблик айпи целевого сервева иначе как машина примет пакет с левый дестанейн айпи да еще и паблик :) И опять ты не получишь пряник - ибо забыл что при этом пакеты должны как-то идти обратно, причем с соурс айпи внешнего сервака и дестанейн айпи клиента. Но при этом все должно идти либо в локалке, либа через шлюз. Но если в локалке - то как прастите с разных подсетей? А если через шлюз, то это должно быть как-то хитро пропущено через NAT, но тут опять жопа потому что ты забыл исходный пакет прогнать через NAT, но нахрена гонять через NAT пакеты внутри локалки?<br>Запутанно, да? )<br> https://slinkov.ru/openforum/vsluhforumID1/86508.html#11 Wed, 09 Sep 2009 05:21:34 GMT &gt;[оверквотинг удален]<br>&gt;В локальной сети есть Web-сервер (10.10.10.2) <br>&gt;<br>&gt;Я хочу закрыть доступ клиентам локальной сети на внешний сайт some.unwished.site.net. <br>&gt;<br>&gt;Вопрос: <br>&gt;Как сделать так, чтоб не просто запретить виход на сайт some.unwished.site.net через <br>&gt;IPFW, а перенаправлять клиента на страничку локального Web-сервера (10.10.10.2) (на котором <br>&gt;будет уведомление). <br>&gt;<br>&gt;Буду благодарен, если напишите с примером. <br><br>Забыл упомянуть ещё одну возможность - только средствами ipfw:<br><br>ipfw add fwd 10.10.10.2 ip from 10.10.10.0/24 to some.unwished.site.net any<br><br>Все детали - в man ipfw.<br><br>respect,<br>ronin<br> https://slinkov.ru/openforum/vsluhforumID1/86508.html#10 Tue, 08 Sep 2009 22:06:33 GMT &gt;[оверквотинг удален]<br>&gt;ipfw add 10 fwd 10.10.10.2 ip from 10.10.10.0/24 to ip_of_some.unwished.site.net <br>&gt;можно добавить via eth0 <br>&gt;<br>&gt;навязываем на это дело кроновый скрипт, который проверяет текущий ip этого some.unwished.site.net <br>&gt;<br>&gt;<br>&gt;побочный эффект: если some.unwished.site.net на какм-то виртуальном сервере (в смысле апача), то <br>&gt;все, что на этом хосте закроется. средствами ipfw это не лечится, <br>&gt;тут либо файервол с анализом на 6-7 уровне, либо всех через <br>&gt;проксю, как уже было сказано. <br><br>большое спасибо, буду ковырять в этом направлении<br><br>&gt;ну и попутно вопрос: неиспользование прокси -- это такой принцип, или лень <br>&gt;поднимать? Если сетка внутрикорпорат или маленький домонет, то прокся -- милое <br>&gt;дело. <br><br>не, просто вся эта сетка в наследство осталась. А с FreeBSD только знакомлюсь. Вот, что выколопал, то и пишу. (сетка на 100+ человек)<br><br><br> https://slinkov.ru/openforum/vsluhforumID1/86508.html#9 Tue, 08 Sep 2009 20:22:47 GMT &gt;[оверквотинг удален]<br>&gt;Второй - eth1 (190.190.190.190), смотрит в Интернет. <br>&gt;Клиенты из локальной сети ходят в Интернет через IPFW(divert) + natd. <br>&gt;В локальной сети есть Web-сервер (10.10.10.2) <br>&gt;<br>&gt;Я хочу закрыть доступ клиентам локальной сети на внешний сайт some.unwished.site.net. <br>&gt;<br>&gt;Вопрос: <br>&gt;Как сделать так, чтоб не просто запретить виход на сайт some.unwished.site.net через <br>&gt;IPFW, а перенаправлять клиента на страничку локального Web-сервера (10.10.10.2) (на котором <br>&gt;будет уведомление). <br><br>где-то так (пишу с башки, так что синтаксис уточните в манах)<br>ipfw add 10 fwd 10.10.10.2 ip from 10.10.10.0/24 to ip_of_some.unwished.site.net <br>можно добавить via eth0 <br><br>навязываем на это дело кроновый скрипт, который проверяет текущий ip этого some.unwished.site.net <br><br>побочный эффект: если some.unwished.site.net на какм-то виртуальном сервере (в смысле апача), то все, что на этом хосте закроется. средствами ipfw это не лечится, тут либо файервол с анализом на 6-7 уровне, либо всех через проксю, к https://slinkov.ru/openforum/vsluhforumID1/86508.html#8 Tue, 08 Sep 2009 20:14:03 GMT &gt;[оверквотинг удален]<br>&gt;&gt;Спасибо за ответ, ronin. <br>&gt;&gt;<br>&gt;&gt;Но, насколько я понимаю, если играть и ДНС-сервером, то перенаправлятся будут только <br>&gt;&gt;пакеты, адресованы имени some.unwished.site.net, а клиент сможет выходить на этот сайт <br>&gt;&gt;по IP. <br>&gt;&gt;<br>&gt;&gt;А возможно это всё реализовать через IPFW(fwd) ? <br>&gt;<br>&gt;тупое решение решать проблемы http при помощи DNS <br>&gt;читаем маны прокси и не плодим тупые темы <br><br>у чела нет прокси. у него таки нат.<br>учимся читать вводные?<br><br><br> https://slinkov.ru/openforum/vsluhforumID1/86508.html#7 Tue, 08 Sep 2009 19:51:16 GMT &gt;[оверквотинг удален]<br>&gt;&gt;Спасибо за ответ, ronin. <br>&gt;&gt;<br>&gt;&gt;Но, насколько я понимаю, если играть и ДНС-сервером, то перенаправлятся будут только <br>&gt;&gt;пакеты, адресованы имени some.unwished.site.net, а клиент сможет выходить на этот сайт <br>&gt;&gt;по IP. <br>&gt;&gt;<br>&gt;&gt;А возможно это всё реализовать через IPFW(fwd) ? <br>&gt;<br>&gt;тупое решение решать проблемы http при помощи DNS <br>&gt;читаем маны прокси и не плодим тупые темы <br><br>Если имеется ввиду transparent-proxy, то такая схема будет нормально работать только с HTTP. HTTPS работать не будет гарантированно. Поэтому, схема с DNS не такая уж и тупая. Читаем маны по протоколам и не выпендриваемся.<br><br>respect,<br>ronin<br> https://slinkov.ru/openforum/vsluhforumID1/86508.html#6 Tue, 08 Sep 2009 12:42:07 GMT &gt;&gt;читаем маны прокси и не плодим тупые темы <br>&gt;<br>&gt;Поправте меня, если ошибаюсь, но зачем тогда вообше нужен форум, если все <br>&gt;проблемы можна решить методом попыток, выучив тонну манов. <br><br>Но зачем тогда вообще нужен мозг?<br>Можно ведь спокойно подметать дворы и ни о чем не думать и ничего не читать.<br>Если есть что возразить - то сначала читаем правила форума.<br>&gt;Через сервер работают люди и я не хочу ничего испортить :) <br><br>Ты видимо думаешь что один такой? Или тестовую схемы сделать тоже ума не хватает?<br>