Guyver
13-04-2015, 19:29
Доброго времени.
Сразу начну с вопроса. Как на шлюзе (2 сетевухи, WinXP, FW от KES, прокси squid) перенаправить все сетевые запросы наружу от всех компов в локалке (в том числе и от самого шлюза, т.к. он тоже используется для выхода в интернет) через прокси на этом шлюзе? В *nix системах есть что-то типа iptables (или как-то так, своего опыта работы в этих системах нет). Понимаю, что, возможно, это где-то обсуждалось, но изучать 100+ страниц в поисках ответа на конкретный вопрос - это как иголку в стоге сена искать. (поиск по ключевым словам вопроса ничего вразумительного не дал) При этом прозрачность сетевых потоков через шлюз крайне желательна (это чтоб не прописывать на каждой машине прокси), но необязательна, если таковое невозможно в принципе.
Итак, что есть. Есть локалка, диапазон распределяется 10.56.133.0/24 и 192.168.10.0/24. На машине, служащей шлюзом для остальных, 2 сетевые, одна во вне, другая - в локалку. ОС Windows XP sp3, антивирусное ПО KES. Система контентной фильтрации Интернет-Цензор Вобщем-то из-за него и решил все компы пустить в интернет через один (до этого каждый ходил сам), чтобы не ставить и настраивать на каждом систему фильтрации. Это, так сказать, тот минимум, что должно быть, ибо великие дяди сверху так решили (хотя насчет XP никто не заставляет, но я сам чувствую, что пока рано переходить на линукс, не осилю в короткое время). А далее уже остальное своими силами.
Сначала попробовал решить проблему штатными средствами винды - через одноименную службу настроил маршрутизацию, через KES заблокировал для сет.пакетов наружу все порты кроме 21, 53 (без него, оказывается, не определяются dns), 80, 123 (вроде как для службы синхронизации времени, оставил, полезно), ну и 443 , куда ж без него. Вроде неплохо работает, но не решает задачи фильтрации трафика (или я не разобрался, как настроить для виндовой службы маршрутизации). Дело в том, что Интернет-Цензор не полностью устраивает в этом плане, больно ограничен функционал настройки, да и сомнения у меня есть насчет него, подозреваю, что в такой ситуации есть возможность его обойти, хотя сам пока не нашел как.
Поэтому решил все-таки развернуть на шлюзе прокси из бесплатных. Выбор поначалу пал на freeproxy, но он нестабильно работает с KES, бывает, иногда (хотя и редко) не загружается или отваливается во время работы. Вобщем, оставил как тестовую площадку в одной школе. В другой школе поставил squid. По описанию довольно гибок в настройке (если разберешься в этих 100+ тегах и их параметрах). Вот потихоньку осваиваю по частям. Но остаются в итоге 2 проблемы:
1. Прозрачность. На каждой машине приходится прописывать адрес прокси на шлюзе. Некритично, конечно, но хотелось бы все-таки прозрачности, когда шлюз сам прослушивает и отправляет весь интернет-трафик через прокси.
2. И главная. На шлюзе, который также используется для выхода в интернет, обычный пользователь, сидя за машиной, тупо выключает использование прокси и вуаля, браузеры спокойно выходят в интернет в обход squid'а. Я пытаюсь пока решить данную проблему вводя как можно меньше дополнительных ограничений и блокировок для учетки. Например, попытался закрыть для всех программ доступ вовне (через KES), для squid отдельно первым вынес правило - можно любую сетевую активность на любой адрес. Пока вышло криво, итог - доступ в интернет отсутствует у всех, в том числе и у squid. Любые на данный момент попытки открыть доступ в сеть squid'у приводят к тому, что и без него браузеры могут шастать в сеть на шлюзе.
Если есть программы из бесплатных, что посоветуете поставить, чтоб направлять весь интернет трафик от локалки (и на шлюзе) через squid?
Сразу начну с вопроса. Как на шлюзе (2 сетевухи, WinXP, FW от KES, прокси squid) перенаправить все сетевые запросы наружу от всех компов в локалке (в том числе и от самого шлюза, т.к. он тоже используется для выхода в интернет) через прокси на этом шлюзе? В *nix системах есть что-то типа iptables (или как-то так, своего опыта работы в этих системах нет). Понимаю, что, возможно, это где-то обсуждалось, но изучать 100+ страниц в поисках ответа на конкретный вопрос - это как иголку в стоге сена искать. (поиск по ключевым словам вопроса ничего вразумительного не дал) При этом прозрачность сетевых потоков через шлюз крайне желательна (это чтоб не прописывать на каждой машине прокси), но необязательна, если таковое невозможно в принципе.
Итак, что есть. Есть локалка, диапазон распределяется 10.56.133.0/24 и 192.168.10.0/24. На машине, служащей шлюзом для остальных, 2 сетевые, одна во вне, другая - в локалку. ОС Windows XP sp3, антивирусное ПО KES. Система контентной фильтрации Интернет-Цензор Вобщем-то из-за него и решил все компы пустить в интернет через один (до этого каждый ходил сам), чтобы не ставить и настраивать на каждом систему фильтрации. Это, так сказать, тот минимум, что должно быть, ибо великие дяди сверху так решили (хотя насчет XP никто не заставляет, но я сам чувствую, что пока рано переходить на линукс, не осилю в короткое время). А далее уже остальное своими силами.
Сначала попробовал решить проблему штатными средствами винды - через одноименную службу настроил маршрутизацию, через KES заблокировал для сет.пакетов наружу все порты кроме 21, 53 (без него, оказывается, не определяются dns), 80, 123 (вроде как для службы синхронизации времени, оставил, полезно), ну и 443 , куда ж без него. Вроде неплохо работает, но не решает задачи фильтрации трафика (или я не разобрался, как настроить для виндовой службы маршрутизации). Дело в том, что Интернет-Цензор не полностью устраивает в этом плане, больно ограничен функционал настройки, да и сомнения у меня есть насчет него, подозреваю, что в такой ситуации есть возможность его обойти, хотя сам пока не нашел как.
Поэтому решил все-таки развернуть на шлюзе прокси из бесплатных. Выбор поначалу пал на freeproxy, но он нестабильно работает с KES, бывает, иногда (хотя и редко) не загружается или отваливается во время работы. Вобщем, оставил как тестовую площадку в одной школе. В другой школе поставил squid. По описанию довольно гибок в настройке (если разберешься в этих 100+ тегах и их параметрах). Вот потихоньку осваиваю по частям. Но остаются в итоге 2 проблемы:
1. Прозрачность. На каждой машине приходится прописывать адрес прокси на шлюзе. Некритично, конечно, но хотелось бы все-таки прозрачности, когда шлюз сам прослушивает и отправляет весь интернет-трафик через прокси.
2. И главная. На шлюзе, который также используется для выхода в интернет, обычный пользователь, сидя за машиной, тупо выключает использование прокси и вуаля, браузеры спокойно выходят в интернет в обход squid'а. Я пытаюсь пока решить данную проблему вводя как можно меньше дополнительных ограничений и блокировок для учетки. Например, попытался закрыть для всех программ доступ вовне (через KES), для squid отдельно первым вынес правило - можно любую сетевую активность на любой адрес. Пока вышло криво, итог - доступ в интернет отсутствует у всех, в том числе и у squid. Любые на данный момент попытки открыть доступ в сеть squid'у приводят к тому, что и без него браузеры могут шастать в сеть на шлюзе.
Если есть программы из бесплатных, что посоветуете поставить, чтоб направлять весь интернет трафик от локалки (и на шлюзе) через squid?