M-Agent, sherlock, 07:22 , 25-Фев-11 (1)
>[оверквотинг удален]
> пашет
> fwcmd="/sbin/ipfw"
> ${fwcmd} add deny from 192.168.0.0/24 to any 2041
> ${fwcmd} add deny from 192.168.0.0/24 to any 2042
> ${fwcmd} add deny from any to 192.168.0.0/24 2041
> ${fwcmd} add deny from any to 192.168.0.0/24 2042
> подскажите пожалуйста как с ним ешё можно боротся? и ешё, как запретить
> выход помимо прокси и перенаправить весь трафик только через сквид?
> кстати это все нужно сделать в ipfw, так что всякие настройки через
> iptable не предлагать, СПАСИБО!
запретить доступ напрямую - самый простой способ убрать nat, ну либо первым правилом
add deny ip from LocalNet to not me in via LocalIface
а на Squid зарезать агент можно так:
acl MRA_dst dstdomain .mail.ru
acl MRA_domain dstdom_regex jim[0-9]*\.mail\.ru mra\.mail\.ru
acl MRA_method method CONNECT
http_access deny MRA_dst MRA_method
http_access deny MRA_domain
Ответить | Сообщить модератору

M-Agent, golibshoh, 07:43 , 25-Фев-11 (2) +1
M-Agent, golibshoh, 08:10 , 25-Фев-11 (3)

M-Agent, sherlock, 08:48 , 25-Фев-11 (4)
>[оверквотинг удален]
>> http_access deny MRA_dst MRA_method
>> http_access deny MRA_domain
> со сквидом не получилось ничего, даже и не моргнул этот гнида агент.
> птотм посмотрел с настройках агента и увидел что там не указан
> прокси сервак. прописал его и агент перестал работать. думаю это значить
> что до этого он работал мимло прокси, как я и предполагал
> тепер нужно закрыть его только в ipfw, или ещё лучше суметь
> перенаправить вес трафик только и только через сквид, потому как думаю
> почти у всех пользователей агент пашет именно мимо. есть какие нибуд
> идеи? Спасибо все кто помогает
Я же написал
> запретить доступ напрямую - самый простой способ убрать nat, ну либо первым
> правилом
> add deny ip from LocalNet to not me in via LocalIface
завернуть можно, но увы не все, т.е. если делать прозрачное проксирование то все равно будет куча проблем, например того-же агента не завернешь!!! Так что надо определяться, работаем либо только через прокси, либо все-же разрешать работать напрямую.
Ответить | Сообщить модератору

M-Agent, golibshoh, 09:54 , 25-Фев-11 (5)

M-Agent, sherlock, 11:07 , 25-Фев-11 (6)
>>[оверквотинг удален]
>>> почти у всех пользователей агент пашет именно мимо. есть какие нибуд
>>> идеи? Спасибо все кто помогает
>> Я же написал
> через ipfw могу проверить только вечером потому как наверника правила вступят в
> силу только после перезагрузки сервера что я несмогу сделать пока что.
Неверно! При добавлении правила можно указать его номер `man ipfw`
и добавить его без всяких перезагрузок в любое место
> И что же возникают вопросики
> 1. значить агента такими способами невозможно закрыт?
ну вообще-то можно, только тогда пострадает не только агент, т.к. придется блокировать порт 443 в диапазоне IP адресов, принадлежащих mail.ru
> 2. если нелзя в файрволле завернуть все через прокси то люди будуть
> бегат мимо его, и тогда зачем я столько мучился настраивать его?
заставьте всех пользоваться прокси, исключите доступ в инет через NAT, иначе при наличии прямого доступа это борьба с ветрянными мельницами, люди научатся пользоваться внешними прокси серверами и тогда Вас вообще ничто не спасет.

> 3. FreeBSD не гадится в качестве нормально управляемого сервака?
> ...а ведь я начинал уже влблатся в нее...
:-) уверяю Вас, абсолютно все завернуть в прозрачный прокси невозможно!!!!!
ну если только вариант, что у Вас шлюзом WindowsServer с ISA, тогда на каждую машину ставится клиент, который заворачивает в себя весь трафик идущий от клиента в инет и отправляет его ISA серверу, но и тут я не уверен, что 100% написанных программ можно таким способом заставить работать. И дело тут не в том, что у Вас на шлюзе стоит FreeBSD или Linux или что-то еще, а в принципе реализации сетевого обмена каждой конкретной программы которая необходима пользователю.
Ответить | Сообщить модератору

M-Agent, golibshoh, 11:20 , 25-Фев-11 (7)

M-Agent, sherlock, 12:07 , 25-Фев-11 (8)
> попитался завернут трафик по тому как вы сказали в правилах ipfw, и
> получился так вы и предполагали, точнее агент-то закрылся наглухо, только кроме
> него пропали и кое что другое ,
приведенное мною правило не заворачивает траффик в сквид, а блокирует весь траффик, который идет мимо, естественно, что перестало работать все остальное.
> например некоторые программы которые
> нужны пользователям (они выходят на свои сервера через IP если это
> важно) к тому же пинг пропал и вовсе, а наши филиали
> которые соеденены с нами посредством VPN-туннелирования тоже несмогут работать... карочи
> какая то неразбериха пошла, пришлос все вернуть обратно.
ну значит Вам необходимо сесть и составить реестр пользователей и ресурсов, к которым им нужен доступ в обход Squid, с указанием IP и портов, чтобы добавить для них разрешающие правила
> Теперь наверное мне нужно вот что:
> 1. либо завернуть все проходящую по портам 80 на порт 3128 (у
> меня прокси на этом порту работает)
завернуть можно, если сам Squid скомпилен с поддержкой такого режима работы, но Вы правильно написали, только то, что идет по порту WWW (80 и ему подобные), все остальное увы надо пропускать напрямую.
> 2. либо закрыть агент в самом сквиде как нибуд
> при втором случае я не получу желаемого резултата, так как могу закрыть
> только тех у кого есть запись в саом сквиде. что я
> хочу сказать, понимаете есть пользователи которых нет в сквиде, точнее ихные
> МАК-адреса отсутсвуют но они почему то могут работать в агенте. вот
> в чем проблема... короче я конкретно запутался с этим агентом... уже
> непонимаю что где и к чему
так может плюнуть? Пусть пользуются.
Ответить | Сообщить модератору

M-Agent, golibshoh, 12:33 , 25-Фев-11 (9)

M-Agent, golibshoh, 12:38 , 25-Фев-11 (10)
M-Agent, sherlock, 13:02 , 25-Фев-11 (11)
>[оверквотинг удален]
> не написал в ipfw.conf а набрал на прямую чтобы после перезагурузки
> потерялась, если что пойдет не так)
> в статье было так:
> ${FwCMD} add fwd 127.0.0.1,3128 tcp from ${NetIn}/${NetMask} to any 80 via ${LanOut}
> я сделал так:
> /sbin/ipfw add fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any 80 via em0
> где em0 -внешный интерфейс
> но не помогло, а посути я типа по моему перенаправил же все
> проходяший по порту 80 на порт 3128
> я дико извеняюсь но БЛИН что мне делать?
нет, Вы принципиально не читаете мои сообщения?
закрыть доступ в инет мимо прокси, составив (реестр) и добавив исключения для тех программ, которые не умеют работать через прокси, пройти по всем пользователям и настроить браузеры и все остальное, чтобы они использовали прокси.
Ответить | Сообщить модератору

M-Agent, golibshoh, 14:11 , 25-Фев-11 (12) +1

M-Agent, golibshoh, 19:58 , 27-Авг-12 (13)