Большой Воронежский Форум Mobile

Сабж.... Треба прокся типа Юзергейта, тока менее глюченная. С интуитивными интерфейсом, натом, файрволом, кучей протоколов и т.д. т.п. Winproxy не советовать. Кто что могет подсказать? [Ответ]

Сообщение от gene:
Пеши есче, гнутый удав.

gene, давайте попробуем предугадать сутьбу Вашего поста дружно

To ALL: Кто чего подскажет по-сути? [Ответ]

Kerio WinRoute FIREWALL 6.х - глючный до ужасти..... 4.x - нимагу найтить слышал про Traffic Inspector.... мож есть у кого? [Ответ]

Сообщение от :
нашел.... неудовлетворило

Ну тогда еще пробуй Wingate [Ответ]

Сообщение от sturb:
Wingate

кто-то говорил, что это тож-самое, что и WinProxy.... гляну... пасиб....

ЗЫ: Поюзал мельком "трафик инспехтор" - без глубокого проникновения - истек слюною весчь!!! жалко лекари пока ненатрудились [Ответ]

doXtor, Практически все прокси "это тож-самое"
Ну по крайней мере в той группе, в которой ты ищешь [Ответ]

керио у кого работает с АД - никаких глюков.
видно руки.сис [Ответ]

Сообщение от firesanek:
керио у кого работает с АД - никаких глюков.
видно руки.сис

Так сказать +1, я как уже второй месяц пошел, как настроил - полет ровный. Притом что за "серваком" сидит обычный юзверь (творит в ворде и лазиет в интернете). [Ответ]

Сообщение от firesanek:
керио у кого работает с АД - никаких глюков.

керио запускал с АД - юзера в упор не видит и не меняет. трабле был посвящен раздел на форуме про Kerio (забыл как форум назывался...). т.е. достаточно на конкретном компе в сети войти под собственным логином в тырнет, логаут не срабатывает и все последующие юзьвери на этом компе лезут - как-будто первый..... мож внатуре руки.... тадыть вразумите - как настроить? [Ответ]

Прежде чем начать устанавливать и настраивать «стены», тебе необходимо определиться, на базе какой программы ты это будешь делать. Уже много раз писалось и переписывалось в нашем журнале про способы защиты сети от внешнего вторжения. По большому счету, принцип работы всех «горящих стен» одинаков (я имею в виду программные продукты). При настройке «стены» создаются правила, в соответствии с правилами «стена» либо пропускает пакеты внутрь/наружу твоей сети, либо отбрасывает. Мы рассмотрим построение «стены» на примере программного продукта фирмы Kerio. Достаточно демократичный по цене продукт, обеспечивающий потребности небольшой сети. Если у твоей конторы нет денег на покупку сервера для установки файрвола, то хочу тебя обрадовать - на базе обыкновенного четвертого пня с 512 метрами памяти, ты сможешь построить файрвол, который легко справится с сеткой до 100 машин. Ну, операционку лучше поставить, конечно, серверную. Еще кое-что о приправах. Фирма Kerio написала софтину, которая интегрируется в Active Directory. Это говорит о том, что если установить файрвол на комп, который является членом домена, то при настройке он легко засосет базу данных пользователей. И при создании пользователя в домене, он автоматом получит доступ к инету (при правильной настройке). Однако мы опять вступаем на тонкую стезю религии. Я, например, предпочитаю полностью контролировать все процессы в сети, и поэтому мы сейчас начнем устанавливать файрвол на комп, который не только не является членом домена, но и лежит в совершенно другой группе. При такой постановке вопроса нам придется всех пользователей заводить руками на файрволе. В принципе, нам все равно пришлось бы заводить пользователей отдельно на файрволе, так как продукт фирмы Kerio не дружит с кириллицей, а все пользователи в Active Directory заведены в русской раскладке. Начинаем. Установку операционки пропустим. Дадим имя компьютеру и рабочей группе, куда мы положим комп, одинаковое - FENCE. Так как компьютер затачиваем под файрвол, пристрелим все ненужные сервисы и произведем установку по минимуму. Ничего лишнего нам не нужно.

Теперь еще одну штуку мы чуть не забыли. Файрвол имеет две сетевые карты: одна подключена к локальной сети и имеет адрес, который мы указываем всем клиентам, как адрес прокси-сервера, вторая сетевая карта подключена к провайдеру и имеет IP-адрес, выданный тебе провайдером с маской и адресом DNS-сервера. Дабы при настройке файрвола мы не путались в сетевых картах, мы переименуем сетевое подключение, идущее к провайдеру в «Internet Connection», а сетевое подключение, идущее в локальную сеть, оставим с именем по умолчанию «Local Area Connection».

Начинаем установку. Как обычно, к нам на помощь спешит визард. Долго жмем на кнопку «Next», пока не попадаем на экран выбора установки. Здесь, конечно, выбираем тип установки «Custom».

Далее, если не планируешь использовать через свой файрвол VPN-туннели, можешь сбросить эту галочку. Ну и если на досуге не будешь читать хелп на чешском языке, исключаешь и его при установке. «Next». На странице с заведением админского пароля и логина пропиши сразу логин и пароль для администрирования, иначе потом это все сменить не удастся. Таковы реалии программы. На следующей странице тебе предлагается установить адрес, с которого ты сможешь удаленно рулить программой. Пока отложим это.

Теперь ждем некоторое количество минут, пока идет установка. Далее перегружаем комп и смотрим, что же получилось. После перезагрузки Kerio предложит запустить администраторскую консоль. Запускаем. Далее вводишь логин и пароль. И опять заботливые программисты сделали все, что бы мы сильно не перетрудились, морща свой мозг, - нам опять предлагают визард для настройки файрвола. Здесь остановимся на минутку. Как обычно есть два пути: пройтись по визарду и получить на выходе готовый работоспособный файрвол, в котором потом при необходимости можно подправить все правила или отказаться от услуг визарда и начать все делать ручками. Мы не ищем легких путей и сделаем все руками. Отменяем работу визарда. Теперь при запуске административной консоли нам необходимо либо зарегистрировать копию (только при наличии интернета), либо использовать демо-версию (при наличии интернета), или установить имеющийся лицензионный ключ. Устанавливаем ключ, он ведь есть у нас. С регистрацией закончили. Теперь смотрим, что мы имеем. А имеем мы одно правило (его нельзя ни удалить, ни изменить), которое полностью закрывает все порты.

Теперь пришло время визарда. На странице «Traffic Policy» внизу находим кнопку «Wizard» и мощным рывком нажимаем ее. Первая страница рассказала нам о том, как визард настроит правила (читать можно только от скуки)–> «Next». Вторая страница: выбираем тип подключения к итернету, если не диал-ап, то оставляем по умолчанию. На следующей страничке выбираем интерфейс, который подключен к Сети (мы его назвали «Internet Connection»). «Next». Теперь нам предлагаются порты, которые будут открыты. Предлагаю оставлять все по умолчанию, все равно будем переделывать. На пятой страничке правило, относящееся к VPN: если оное не предполагается использовать, то сбрасываем галочку. «Next». Вот пришли к входящим правилам. На шестой странице визард предлагает указать, какие сервисы, используемые в локальной сети, должны быть видны из интернета (твой веб-сервер, почтовый сервер, фтп-сервер и так далее). Если ничего такого нет, на странице ничего и не добавляем. «Next». На седьмой странице правило использования NAT. Это важная часть – оставляем отмеченным данное правило. На восьмой странице желанная кнопка «Finish». Мы получили готовый файрвол.

Если ты внимательно посмотришь на правила, которые создал визард, то увидишь, что, в принципе, все основное и необходимое для выхода из локальной сети в интернет есть. Однако перед тем как начнем заводить пользователей на файрволе, необходимо сделать еще кое-какие настройки. При такой настройке пользователь не получит доступ в интернет, так как не имеет на это прав, но некоторые сервисы, запущенные на машине пользователя, смогут достучаться в интернет, так как существует правило, позволяющее протоколам (HTTP, например), выходить в интернет. Первое, что необходимо сделать, это исключить возможность выхода из локальной сети в Сеть чему бы то ни было. Ни один сервис, ни одно приложение не должны иметь такой возможности. Пока не трогаем правила, которые создал визард. Начинаем дописывать свои. Создадим два правила на уровне интерфейсов: одно разрешает сетевой карте локальной сети (Local Area Connection) полный доступ на файрвол, второе - запрещает локальной сети доступ на сетевую карту «Internet Connection».На странице «Traffic Policy» нажимаем «ADD», и у нас появилось новое правило «New rule». Отредактируем его: двойной щелчок на правиле–> даем ему имя «Proxy1»-> меняем цвет (я делаю это для того, что бы отличать правила, созданные мной, от правил, созданных визардом)–> в Description пишем: «Обмен между внутренней сетью и файрволом». Теперь редактируем источник: двойной щелчок на правиле Proxy1 в столбце Source. В открывшемся окне Edit Source нажимаем Add, и в выпавшем списке выбираем Network connection to interface. Ну и в списке интерфейсов выбираем Local Area Connection. Таким же образом редактируем столбец Destination. Только теперь выбираем Firewall host. Колонку Service не трогаем: в ней по умолчанию оставляем Any (все сервисы). А в колонке Action необходимо выбрать Permit. Расшифруем правило: мы разрешили обмен всеми возможными пакетами любых возможных сервисов между сетевой картой файрвола, смотрящей во внутреннюю сеть (Local Area Connection), и программным комплексом файрвола. Вторым правилом мы запретим обмен любыми данными между сетевой картой Local Area Connection и сетевой картой Internet Connection. Добавляем правило, даем имя Proxy2, меняем цвет, даем описание, источником выбираем Local Area Connection (Source), приемником выбираем Internet Connection (Destination), сервисы оставляем все (Any), а в колонке Action выбираем Deny. Таким образом, ни один сервис, протокол или пакет не сможет пройти, минуя файрвол, из внутренней сети во внешнюю, и наоборот. И еще один нюанс: файрвол читает правила сверху вниз. Если первое правило разрешает пакету или сервису действие, то к этому пакету или сервису прикладывается следующее правило и так до самого низа списка правил. И если ни одно правило не запретило активность пакету-сервису, то он выпускается наружу или, наоборот, проходит внутрь сети. Разместим наши вновь созданные правила после правила, созданного визардом Firewall Traffic. Для перемещения правил вверх или вниз справа от таблицы правил существуют стрелочки.

Не забываем нажимать кнопку Apply после всех правильных действий, иначе все труды будут утеряны при выходе из программы! Вот теперь пришло время разобраться с остальными правилами.

Запретим доступ из интернета в нашу локальную сеть. Создаем правило, назовем его Ban. Помещаем его на самый верх. Это правило должно отсекать все попытки проникнуть в нашу внутреннюю сеть. Делаем его красным. Все разрешающие правила – зеленые, запрещающие – красные. Остальные – любого другого цвета. Тебе проще будет разбираться. Настраиваем правило Ban. Источником выбираем Internet Connection, приемником (Destination) – Local Area Connection и Firewall Host. Сервисы запрещаем следующие: Any ICMP, DNS, HTTP, HTTP Proxy, KWF Admin, Telnet. И закрываем следующие порты: ТСР с 135 по 139, ТСР 3389, ТСР 445, UDP 135-139, UDP 3389. В колонке Action ставим Deny. В колонке Log выбираем Log matching packets. Теперь в логах, в случае попыток проникновения в твою сеть, ты увидишь, кто и с какого адреса что-то хотел сотворить с твоей сетью.Теперь отключим некоторые правила, созданные визардом, а некоторые подправим. Для отключения правила достаточно снять галочку возле имени и не забыть нажать Apply. Итак, отключаем следующие правила: ISS OrangeWeb Filter (спам-фильтр, который через некоторое время запросит денег), правило NAT (мы задали вместо него свои правила), правило Local Traffic (аналогично). Теперь подправим правило FireWall Traffic. Все нужные тебе сетевые сервисы добавляй в это правило. Мы добавим пока ICQ, IRC, Ping.

Вот, в первом приближении настроили. Теперь для примера создадим правило, которое будет резать рекламу в аське. Создаем правило, называем его «Баннеры», источник - Any, Destination – ar.atwola.com, Service – Any, Action – Deny, и писать лог, дабы проследить работоспособность правила.

Ну и напоследок создадим правило, разрешающее контроллеру домена обновлять зону DNS и синхронизировать время с серверами точного времени. Создаем правило, называем его по имени контроллера домена (дабы потом разобраться, что мы тут натворили), в источнике указываем IP-адрес контроллера домена, в назначении – Any, Service – DNS,NTP, Action – Permit, и в Translation выбираем Translate to IP address outgoing interface (typical setting).

Таким образом, мы рассмотрели случаи отрезания ненужных вещей (на примере правила «Баннеры») и создания специальных разрешений на примере правила XakDomain. Теперь, читая полезные форумы и наткнувшись где-нибудь на предупреждение о каком-либо вирусе, использующий определенный порт. Тебе достаточно этот порт внести в правило BAN, и через твой файрвол вирь не пролезет. Аналогично ты поступаешь с навязчивой рекламой: вычисляешь адрес рекламы и прописываешь его в правило «Баннеры». Если тебе необходим какой-либо дополнительный сервис – прописываешь его в правило Firewall Traffic. Если необходимый тебе сервис отсутствует в таблице выбора, ты можешь создать его сам. Для этого раскрываешь закладку Definitions, далее Services, жмешь ADD, даешь имя сервису (например, MyService), выбираешь протокол, указываешь порты, заполняешь описание, нажимаешь ОК и Apply. Теперь созданный тобой сервис станет доступен в правилах.

Проверяем: лезем в Traffic Policy, добавляем наш вновь созданный сервис в правило Firewall Traffic, двойной щелчок на Service, и в списке находим наш сервис.

Мы рассмотрели примерное создание правил для защиты сети и обеспечения необходимой функциональности. В следующем модуле мы продолжим настройку нашего файрвола, разберемся с пользователями, квотами и контентным фильтром. [Ответ]

Очевидные ляпы и глупости:

Сообщение от ЖёсткО:
...устанавливать файрвол на комп, который не только не является членом домена, но и лежит в совершенно другой группе...
... продукт фирмы Kerio не дружит с кириллицей...,
... Дадим имя компьютеру и рабочей группе, куда мы положим комп, одинаковое - FENCE...
.. произведем установку по минимуму...
...На странице с заведением админского пароля и логина пропиши сразу логин и пароль для администрирования, иначе потом это все сменить не удастся...
...Первое, что необходимо сделать, это исключить возможность выхода из локальной сети в Сеть чему бы то ни было. Ни один сервис, ни одно приложение не должны иметь такой возможности...
... второе - запрещает локальной сети доступ на сетевую карту «Internet Connection»...
...И если ни одно правило не запретило активность пакету-сервису, то он выпускается наружу или, наоборот, проходит внутрь сети...
...Не забываем нажимать кнопку Apply после всех правильных действий, иначе все труды будут утеряны при выходе из программы!...
...Запретим доступ из интернета в нашу локальную сеть. Создаем правило, назовем его Ban. Помещаем его на самый верх...
Сервисы запрещаем следующие: Any ICMP, DNS, HTTP, HTTP Proxy, KWF Admin, Telnet. И закрываем следующие порты: ТСР с 135 по 139, ТСР 3389, ТСР 445, UDP 135-139, UDP 3389...
... Теперь для примера создадим правило, которое будет резать рекламу в аське...
..IP-адрес контроллера домена, в назначении – Any..

Странная статья. Вроде и правильно в целом, но впечатление, что автор плохо понимает то, о чем пишет. Интересно, откуда взято? [Ответ]

ЖёсткО, тхенькс огромный [Ответ]

Жестко
Если ты автор - то можем спокойно обсудить содержание, определив тематику НЕ В ЭТОМ РАЗДЕЛЕ. Может получиться супер-классная статья для любого продвинутого журнала, слог есть без понтов, это видно и это - главное. Если не хочешь паблик - в пс, помогу с радостью всем, чем смогу, вплоть до тестовых площадок.
Но только не в этом топике для этого дурака!!!! [Ответ]

Сообщение от gene:
Но только не в этом топике для этого дурака!!!!

Предупреждения видать мало? БАН требуется для понимания сути правил общения на форуме? Можно попробывать устроить, если горишь желанием.

...и еще.... я глаза человеческие коллекционирую.... я в этом лучше тебя разбираюсь, сто пудова..... давай ты поучавствуешь в коллекции? [Ответ]

Сообщение от doXtor:
Можно попробывать устроить, если горишь желанием.
...и еще.... я глаза человеческие коллекционирую.... я в этом лучше тебя разбираюсь, сто пудова..... давай ты поучавствуешь в коллекции?

Горю!!!
Давай!!!
Конкретно предлагай.
Добавил: соплячок, не тяни, сгораю от ожидания.
Опять добавил: ну, так где же ты, родной ?!!!!!
Не бзди - просто отругаю и попку нашлепаю. [Ответ]

Сообщение от Vaughan:
а не кажется, что прокси-это день вчерашний?

А вам не кажется что теме уже почти 5 лет? [Ответ]

Сообщение от Vaughan:
а не кажется, что прокси-это день вчерашний? Все уже через VPN давно шифруются, https://kebrum.com/ - тут например, хошь платным пользуйся, хошь бесплатным.

А Вы вообще знаете, что такое прокси? [Ответ]

Сообщение от Vaughan:
Не знал бы не писал

фейспалм.жпг

http://ru.wikipedia.org/wiki/%CF%F0%...E5%F0%E2%E5%F0
Почитайте тогда назначение, если определение вы уже знаете. [Ответ]

Vaughan, т.е. ты предлагаешь вместо прокси поставить vpn сервер, а клиенты через него выходили в интернет? Это каким же параноиком надо быть, чтобы шифровать локальную сеть? [Ответ]

Сообщение от Катя.:
Vaughan, т.е. ты предлагаешь вместо прокси поставить vpn сервер, а клиенты через него выходили в интернет? Это каким же параноиком надо быть, чтобы шифровать локальную сеть?

А vpn это авторизация и аутентификация. Например теж isp использую vpn для учёта за пользователями, но не используют никакого шифрования? Ну, vpn, imho, несколько другое. Оно наверное используются для структурирования - создания структуры сети, но не за определённым контролем за точкой. proxy бывают разные. Они кэшируют, фильтруют, сжимают, перенаправляют и т.д. [Ответ]

Я думаю, что всё можно решить пакетным фильтром + прокси + freebsd и linux. Выбираем прокси сервер который может работать в 'прозрачном режиме'. Перенаправляем весь нужный трафик из связующего эту подсеть интерфейса на прокси. Прокси может находиться совсем на другой машине и т.д. У нас получается прозрачная работа всех клиентов через прокси. Шейпинг надо делать во freebsd. Короче, imho это намного вкусней.

Ну, перенаправление работает очень просто:

iptables -t nat -A PREROUTING -i wlan0 -s 192.168.3.0/24 !-d 192.168.1.212 -p tcp --dport 80 -j DNAT --to 192.168.1.212:8118

Мы все трафик с адресом назначения на 80 порт попадающий в wlan0, а wlan0 это сеть 3.0 - wifi - все клиенты по wifi, перенаправляем на прокси сервер. В приведённом примере это privoxy - фильтрующий прокси который умеет работать 'почти как прозрачный'. privoxy умеет форвардить дальше. Например часть запросов оно форвардит на tor через сокс и т.д. Через privoxy мы можем управлять и политикой доступа к нему. В настройках браузеров клиентов никаких настроек делать не надо. [Ответ]

Сообщение от Hip-Hop:
А я не знаю чё эт за петля, но о ней все предупреждают. Ну, не очень понимаю.

Видимо надо вдумчиво разобраться в работе DNAT.

А, ну вот собственно сабж - http://tldp.org/HOWTO/TransparentProxy-6.html

Где нам советуют инвертировать адрес отправителя proxy -

iptables -t nat -A PREROUTING -i eth0 -s ! squid-box -p tcp --dport 80 -j DNAT --to squid-box:3128

А зачем нам его исключать? Ну, то-есть, если разобрать правило. Все чё попадает в eth0, но кроме адреса отправителя proxy c адресом назначения на 80 порт.. нужно перенаправить на адрес proxy. Ну, иначе прокси пошлёт сам себе пакет, но только в каком случаи он это может сделать?? Что-то я не понимаю...

Да, как я понимаю.. такая петля возможна если все хосты и proxy находятся в одной подсети? Если хосты и proxy в разных, то петли не будет.

Достаточно указать сеть отправителя, а она у нас 3.0. Хм, ... [Ответ]

А давайте попробуем разобраться с путём пакета. Мы делаем запрос на google с хоста из сети 3.0. Запрос уходит на шлюз сети 3.0 - 3.3 и попадает в этот wlan0 - это и есть интерфейс шлюза для этой сети. Дальше начинает работать правило из цепочки prerouting. В соотв с ним все запросы на 80 порт из сети 3.0 должны быть отправлены в сеть 1.0 на машину 1.212:8118. Они туда отправляются и обрабатываются privoxy. Хост 1.212 отправляет их на свой шлюз, а тот в свою очередь на шлюз с интернетом. Там отрабатывает nat.

А дальше? Каким образом возвращается ответ?

Ну, nat транслирует приватный адрес в публичный и 'доходит' до сервера. Сервер в интернет ему отвечает. Ответ возвращается на шлюз интернета, где адреса транслируются обратно и отправляются до отправителя. Он (ответ) попадает к privoxy который форматирует контент. И в конечном этого все же попадает к клиенту? Ну, раз он получает результат работы privoxy.

Все равно не понимаю. [Ответ]

Ээ, ну вот до момента 'форматирования контента на privoxy' всё понятно. А как пакеты от клиента попадают до клиента от privoxy? Хм.. [Ответ]

папа.. а ты с кем щас разговариваешь? (С) [Ответ]

Что такое прокси? [Ответ]

писец.....
чмо все.
выродлась брехаловка - чмо само с собой во всех темах оттопыривается.
жлобье сучье, бля. [Ответ]