LINUX.ORG.RU
ФорумAdmin

Client->WiFi -> Linux Firewall -> Internet

 , ,


0

1

Можно ли сделать Файрвол из линукса в корпоративный сети. В нашем кампании всего лишь 15 сотрудников который подключается через wifi роутер (Zyxel OMI II). И моя задача блокировать сот-сети.

  • Один чел предложил установить UserGate
  • Если сделать Файрвол из линукса и поставить между клиентами интернетам Это процесс не замедлит скорость обмен данных?
  • Как бы трафик проходят через Линукс. Можно ли реализовать и если возможно как реализовать?


Последнее исправление: RedHad-Unix (всего исправлений: 3)

Да, файрволл с блокировкой сайтов на Linux или любом другом *nix более чем реален. Любой файрволл или посредник в теории замедляет обмен данными, но это совершенно неощутимо, ибо сама сеть состоит из тысяч таких посредников.

Vsevolod-linuxoid ★★★★★
()

Стоп, у зикселей же на роутере черные списки сайтов есть? Настрой пока там. От прокси и тем более тора это не спасет, но с ними и на полноценном Linux непросто справиться, особенно с последним.

Vsevolod-linuxoid ★★★★★
()

давай договоримся: я предлагаю тебе завернуть весь днс трафик на роутер, там блокировать без всяких фаерволлов и проксей запросы на резолв доменов соц сеток
а ты мне в ответ раскжешь, что такое «компаративные сети»

system-root ★★★★★
()

Технических вариантов решения вам уже насоветовали, но это будет вечная борьба с пользователями. В конце концов будут подключаться через свои телефоны или просто в телефонах пользоваться соц сетями. Если вопрос в том, чтобы сотрудники на работе занимались делом, а не ерундой, то эффективно решается это только административно через подписание функциональный обязанностей, где сотрудник под подпись подтверждает, что знает, что делать можно, а чего нельзя.

serbathome
()
Ответ на: комментарий от system-root

а ты мне в ответ раскжешь

Мне тоже «раскжи», думал на эту тему, но так ничего и не придумал как сие блокировать. Интересно https не ловленый и сайты по части (маске) имени блокировать без сквида, уж думал фейковые зоны DNS поднимать, что на роутере бороться со всякими контекстными рекламами яндекса и гугла. Но кроме как ADblock на станции конечного юзверя ничего не нашел.

Мож ткнешь в какую доку, лучче на могучем, потому как во вражий не люблю вникать.

alex_sim ★★★★
()
Ответ на: комментарий от alex_sim

всё просто.
если нужно ограничить доступ к соцсеточками в маленькой компании, то как раз, как ты выразился «фейковые зоны DNS» отлично справятся.
а если нужно резать рекламу, то всё плохо, и мой совет — даже не начинать.
можно конечно попробовать dpi server купить, украсть, собрать.
можно через squid и ssl bump попробовать, но год назад, я потратил месяц и бросил. он падал на кривых сертификатах, некоторые сайты начинали тупить и глючить, особенно ютуб и вообще было отвратительное увеличение отклика. вдруг за год уже пофиксили, не знаю и сомневаюсь, разработчики сквида те ещё конченные погромисты.
можно поднять днс и резать 100500 доменов с рекламой так, но рекламные домены спавняться быстрее, чем список пополняют. писать свой плагин к браузеру для интерактивного добавления было влом.

system-root ★★★★★
()
Ответ на: комментарий от system-root

если нужно ограничить доступ к соцсеточками в маленькой компании, то как раз, как ты выразился «фейковые зоны DNS» отлично справятся.

Да, похоже придется смириться. В качестве эксперимента зону rambler.ru фейковую я поднял и даже прописал в ней palacesquare.rambler.ru но что то толку не увидел, ссылки на сайте например ленты типа

https://palacesquare.rambler.ru/hxxsgou/enJoczgudm16bWswakB7ImRhdGEiOnsiQWN0aW9uIjoiUmVkaXJl/Y3QiLCJSZWZmZXJlciI6Imh0dHBzOi8vbGVudGEucnUvIiwiUHJv/dG9jb2wiOiJodHRwczoiLCJIb3N0IjoibGVudGEucnUifSwibGlu/ayI/6Imh0dHBzOi8vcGFsYWNlc3F1YXJlLnJhbWJsZXIucnUvcHN1anFybmhiL2RHbDRPWG91WW5WL3VhSEEzWkhScWNtL0UwYVVCN0ltUmhkL0dFaU9uc2lRVy9OMGFXOXVJam9pVW1Wa2FYSmxZM1FpZlN3aWJHbH?bllgvcn=VheUk2SW1oMGRIQno%2FYXVva&dveshmz=HV3cWF3dD1PaTh2WkdseSZj&hnsvqa=Z2pld3RmcnpuPVpXTjBMbmx&jabv=oJmR5cWx2eWxjaW9mPWJtUm&rncqj=xlQzV5JmV6a2dxZXd6Yz1kU&virzmcc=zglMkZjR0Z5JmtqbXR0aXVo&xavbcgd=cWtjdD1kRzVsY2lKOSJ9

Все равно присутствуют и приводят на

https://direct.yandex.ru/?partner
в чем дело? В https? или в тарабарщине что то закодили? Я в этом не спец.

alex_sim ★★★★
()
Ответ на: комментарий от alex_sim

в чем дело? В https? или в тарабарщине что то закодили?

нет, в настройках днс сервера, ты что-то сделал не так или ты не отдаёшь данные и используется второй днс
https вообще никак не участвует в этом, если у машины нет кеша, она обращается сначала к днс серверу, и только получив ip адрес идёт по какому-нибудь протоколу, например https
если настроить днс сервер и возвращать например 127.0.0.2 — ты не сможешь получить от этого адреса https соединение и всё. будет фейл сертификата.

system-root ★★★★★
()
Ответ на: комментарий от system-root

нет, в настройках днс сервера, ты что-то сделал не так или ты не отдаёшь данные и используется второй днс

Да нет перепроверял, на самом шлюзе и на рабочем компе отвечает так же и до резервного DNS дело не доходит.

 nslookup palacesquare.rambler.ru
Server:         127.0.0.1
Address:        127.0.0.1#53

Name:   palacesquare.rambler.ru
Address: 127.0.0.1

С кешем может я затупил, закрывал броузер совсем и снова открывал, надеялся что по новой резолвить будет.

Спасибо, поковыряю еще, возможно не все потеряно.

alex_sim ★★★★
()
Ответ на: комментарий от alex_sim

Ну доступ по http думаю заблокировать не проблема.
А с https я например поступил так:

# Below are the autonomus system (AS) numbers for some social networks
# AS32934 -- facebook.com
# AS47541 AS47542  -- vk.com
# AS49988 -- ok.ru
# AS47652 -- sj.ru
# AS47724 -- hh.ru
# AS19679 -- dropbox.com
AS_TO_BAN="AS32934 AS47541 AS47542 AS49988 AS47652 AS47724"

#Exceptions for some privilegied users
SOCIAL_ALLOW_IPs=""
#SOCIAL_ALLOW_MACs=""

echo ""
echo "Block Social sites"

$IPT -F SOCIAL

# Allow social for some user by their IPs
for userip in $SOCIAL_ALLOW_IPs; do
  $IPT -A SOCIAL -s $userip -j ACCEPT
done

# Allow social for some user by their MACs
#for mac in $SOCIAL_ALLOW_MACs; do
#  $IPT -A SOCIAL -m mac --mac-source $mac -j ACCEPT
#done

# Block for others
$IPT -A SOCIAL -j DROP

## Here, we collect all ip-ranges and block access via HTTPS
for as in $AS_TO_BAN; do
    for ip in `whois -h whois.radb.net "!g$as" | grep /`
    do
      $IPT -A FORWARD -i eth1 -p tcp -d $ip -j SOCIAL
    done
done

exit 0


Через сервис whois определяется список ip-адресов автономной системы и блокируется iptables.

Для чего строки SOCIAL_ALLOW_IPs="" и #SOCIAL_ALLOW_MACs="" думаю понятно.

По рекламе - часть режется сквидом, ну а что сквид не может пока дополнениями в браузере. Руки не как не дойдут сквид под https пересобрать.

julixs ★★★
()
Последнее исправление: julixs (всего исправлений: 1)
Ответ на: комментарий от hbars

А если на сервере поднять privoxy с adblock правилами.

Не в курсе про него, полез читать. А что значит с правилами Adblock там этот же функционал реализован? А HTTPS он тоже ловит и блокировать может? Закрыть все на 443 порту не вариант.

Ну и дописать туда правила блокировок соцсетей.

Нет соц сети не блокирую, какой смысл? у них зеркал туча, куча сайтов помощников которые помогут залезть правдами и неправдами, к конце концов со смартфона залезут с личного.

alex_sim ★★★★
()
Ответ на: комментарий от hbars

непонятки по privoxy

Скачал поставил, запустил, правда старенький он ну и федорка у меня не молодая, повесил его на нужном интерфейсе, фаервол не мешает, пробую к нему цепляться прям в консоли на порт 8118 с помощью lynx ip:8118 и по сети, а он пишет сначала:

Too many open connections

потом таки открывает, но далее пишет:

Maximum number of open connections reached.

в конфиге 256 я всего один

ну может я хочу то чего у него нет (веб морды) и не нужно ему, прописал его ip и 8118 в качестве прокси.... открываю броузер первый попавщийся сайт... вообще тишина. Вроде с коробки должен работать

alex_sim ★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.