- M-Agent, sherlock, 07:22 , 25-Фев-11 (1)
>[оверквотинг удален] > пашет > fwcmd="/sbin/ipfw" > ${fwcmd} add deny from 192.168.0.0/24 to any 2041 > ${fwcmd} add deny from 192.168.0.0/24 to any 2042 > ${fwcmd} add deny from any to 192.168.0.0/24 2041 > ${fwcmd} add deny from any to 192.168.0.0/24 2042 > подскажите пожалуйста как с ним ешё можно боротся? и ешё, как запретить > выход помимо прокси и перенаправить весь трафик только через сквид? > кстати это все нужно сделать в ipfw, так что всякие настройки через > iptable не предлагать, СПАСИБО!запретить доступ напрямую - самый простой способ убрать nat, ну либо первым правилом add deny ip from LocalNet to not me in via LocalIface а на Squid зарезать агент можно так: acl MRA_dst dstdomain .mail.ru acl MRA_domain dstdom_regex jim[0-9]*\.mail\.ru mra\.mail\.ru acl MRA_method method CONNECT http_access deny MRA_dst MRA_method http_access deny MRA_domain
- M-Agent, golibshoh, 07:43 , 25-Фев-11 (2) +1
- M-Agent, golibshoh, 08:10 , 25-Фев-11 (3)
- M-Agent, sherlock, 08:48 , 25-Фев-11 (4)
>[оверквотинг удален] >> http_access deny MRA_dst MRA_method >> http_access deny MRA_domain > со сквидом не получилось ничего, даже и не моргнул этот гнида агент. > птотм посмотрел с настройках агента и увидел что там не указан > прокси сервак. прописал его и агент перестал работать. думаю это значить > что до этого он работал мимло прокси, как я и предполагал > тепер нужно закрыть его только в ipfw, или ещё лучше суметь > перенаправить вес трафик только и только через сквид, потому как думаю > почти у всех пользователей агент пашет именно мимо. есть какие нибуд > идеи? Спасибо все кто помогает Я же написал > запретить доступ напрямую - самый простой способ убрать nat, ну либо первым > правилом > add deny ip from LocalNet to not me in via LocalIface завернуть можно, но увы не все, т.е. если делать прозрачное проксирование то все равно будет куча проблем, например того-же агента не завернешь!!! Так что надо определяться, работаем либо только через прокси, либо все-же разрешать работать напрямую.
- M-Agent, golibshoh, 09:54 , 25-Фев-11 (5)
- M-Agent, sherlock, 11:07 , 25-Фев-11 (6)
>>[оверквотинг удален] >>> почти у всех пользователей агент пашет именно мимо. есть какие нибуд >>> идеи? Спасибо все кто помогает >> Я же написал > через ipfw могу проверить только вечером потому как наверника правила вступят в > силу только после перезагрузки сервера что я несмогу сделать пока что. Неверно! При добавлении правила можно указать его номер `man ipfw` и добавить его без всяких перезагрузок в любое место > И что же возникают вопросики > 1. значить агента такими способами невозможно закрыт? ну вообще-то можно, только тогда пострадает не только агент, т.к. придется блокировать порт 443 в диапазоне IP адресов, принадлежащих mail.ru > 2. если нелзя в файрволле завернуть все через прокси то люди будуть > бегат мимо его, и тогда зачем я столько мучился настраивать его? заставьте всех пользоваться прокси, исключите доступ в инет через NAT, иначе при наличии прямого доступа это борьба с ветрянными мельницами, люди научатся пользоваться внешними прокси серверами и тогда Вас вообще ничто не спасет. > 3. FreeBSD не гадится в качестве нормально управляемого сервака? > ...а ведь я начинал уже влблатся в нее... :-) уверяю Вас, абсолютно все завернуть в прозрачный прокси невозможно!!!!! ну если только вариант, что у Вас шлюзом WindowsServer с ISA, тогда на каждую машину ставится клиент, который заворачивает в себя весь трафик идущий от клиента в инет и отправляет его ISA серверу, но и тут я не уверен, что 100% написанных программ можно таким способом заставить работать. И дело тут не в том, что у Вас на шлюзе стоит FreeBSD или Linux или что-то еще, а в принципе реализации сетевого обмена каждой конкретной программы которая необходима пользователю.
- M-Agent, golibshoh, 11:20 , 25-Фев-11 (7)
- M-Agent, sherlock, 12:07 , 25-Фев-11 (8)
> попитался завернут трафик по тому как вы сказали в правилах ipfw, и > получился так вы и предполагали, точнее агент-то закрылся наглухо, только кроме > него пропали и кое что другое , приведенное мною правило не заворачивает траффик в сквид, а блокирует весь траффик, который идет мимо, естественно, что перестало работать все остальное. > например некоторые программы которые > нужны пользователям (они выходят на свои сервера через IP если это > важно) к тому же пинг пропал и вовсе, а наши филиали > которые соеденены с нами посредством VPN-туннелирования тоже несмогут работать... карочи > какая то неразбериха пошла, пришлос все вернуть обратно. ну значит Вам необходимо сесть и составить реестр пользователей и ресурсов, к которым им нужен доступ в обход Squid, с указанием IP и портов, чтобы добавить для них разрешающие правила > Теперь наверное мне нужно вот что: > 1. либо завернуть все проходящую по портам 80 на порт 3128 (у > меня прокси на этом порту работает) завернуть можно, если сам Squid скомпилен с поддержкой такого режима работы, но Вы правильно написали, только то, что идет по порту WWW (80 и ему подобные), все остальное увы надо пропускать напрямую. > 2. либо закрыть агент в самом сквиде как нибуд > при втором случае я не получу желаемого резултата, так как могу закрыть > только тех у кого есть запись в саом сквиде. что я > хочу сказать, понимаете есть пользователи которых нет в сквиде, точнее ихные > МАК-адреса отсутсвуют но они почему то могут работать в агенте. вот > в чем проблема... короче я конкретно запутался с этим агентом... уже > непонимаю что где и к чему так может плюнуть? Пусть пользуются.
- M-Agent, golibshoh, 12:33 , 25-Фев-11 (9)
- M-Agent, golibshoh, 12:38 , 25-Фев-11 (10)
- M-Agent, sherlock, 13:02 , 25-Фев-11 (11)
>[оверквотинг удален] > не написал в ipfw.conf а набрал на прямую чтобы после перезагурузки > потерялась, если что пойдет не так) > в статье было так: > ${FwCMD} add fwd 127.0.0.1,3128 tcp from ${NetIn}/${NetMask} to any 80 via ${LanOut} > я сделал так: > /sbin/ipfw add fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any 80 via em0 > где em0 -внешный интерфейс > но не помогло, а посути я типа по моему перенаправил же все > проходяший по порту 80 на порт 3128 > я дико извеняюсь но БЛИН что мне делать?нет, Вы принципиально не читаете мои сообщения? закрыть доступ в инет мимо прокси, составив (реестр) и добавив исключения для тех программ, которые не умеют работать через прокси, пройти по всем пользователям и настроить браузеры и все остальное, чтобы они использовали прокси.
- M-Agent, golibshoh, 14:11 , 25-Фев-11 (12) +1
- M-Agent, golibshoh, 19:58 , 27-Авг-12 (13)
|