dislike
06-04-2016, 17:40
Такие дела. Руководство когда-то давно поставило задачу блокировать на работе социальные сети и там ещё по мелочи что-то. Раньше с этой задачей справлялась машинка с pfSense на борту, но у неё полетел HDD вместе со всей шарманкой. На какое-то время её заменили интернет-центром Zyxel Keenetic Giga, но у него 2 минуса - доступ к сайтам он режет только через сервисы типа SkyDNS (по крайней мере других удобных способов не нашёл), и абсолютно не умеет управлять доступом по расписанию, т.е. либо всегда режет, либо всегда не режет, делать перерыв на обед и нерабочие часы не может.
Вот. Дошли руки попытаться возродить pfSense, но что-то руки у меня к нему определенно не заточены. В первый раз, когда я за него взялся, нашел какую-то неудачную инструкцию, делал по ней и в итоге интернет вообще отвалился, пришлось на время отложить идею.
Второй подход.
Взял опять тот же pfSense (версия 2.2.6), сделал ему сброс до заводских настроек, заново настроил интерфейсы Wan и Lan, проверил - интернет работает нормально.
Настроил проброс портов для доступа к нашим ресурсам из внешки, снова проверил - всё работает, всё нормально.
Дальше надо настроить блокировку сайтов, т.е. прозрачный прокси. Снова нашел инструкцию, на этот раз вот такую Как настроить в PfSense прозрачный (transparent) прокси на Squid с просмотром статистики по ip адресам? (http://backnet.ru/2012/01/31/pfsense-prozrachnyiy-proksi-server-squid/). Сделал всё по ней установил пакеты squid и Lightsquid, настроил, всё проверил, всё работает.
Дальше перешел к следующему шагу там же Как настроить в PfSense фильтр для блокировки сайтов или какого либо контента? (http://backnet.ru/2012/02/06/pfsense-nastroyka-filtra-web-dostupa/). Начал делать. Установил SquidGuard, прочитал следующую строчку:
После установки пакета, идем в меню Service - Proxy filter и видим следующие настройки пакета.
Ставим галочку напротив Enable ну и остальные можно так же проставить, за исключением опций Blacklist options, эта опция в этой статье не понадобится.
Поставил указанную галку, но pfSense ругнулся с требованием сначала прописать 127.0.0.1 куда-то во вкладке Access Control в настройках ProxyServer. К сожалению более точно сказать не смогу, поскольку нет возможности воспроизвести ошибку. В общем, я выполнил его требование, повключал галки, указанные в статье. Ещё ничего толком не сделал, ни одного сайта ничего и близко не блокировал, и вот тут началось. Решил в очередной раз проверить, как там работает интернет. Интернет-то работал нормально, но вот yandex, mail и ещё пара сайтов отдавали ошибку 403 forbidden с логотипом pfSense (т.е. сразу ясно, откуда уши). Естественно сотрудники подняли тревогу "у нас интернет не работает!!!расрас".
Начал последовательно откатывать проделанные шаги, но ничего не помогало. Наконец удалил все три установленных пакета SquidGuard, Lightsquid и сам squid, на всякий случай дополнительно перезагрузил шлюз, доступ к проблемным сайтам восстановился, но ценой возврата практически к исходному нулю.
Вот я просто теряюсь, в чем моя ошибка? Вроде делал всё дословно, никуда не отклоняясь, никакой самодеятельности, почему вдруг произвольно отвалился доступ к части сайтов, как этого избежать?
Более того, попытался было заново установить удаленные пакеты, squid как бы установился, но в установленных не появился. Lightsquid нормально установился. Затем заметил отсутствие сквида, установил его ещё раз, он появился в списке, но на сей раз интернет опять отвалился весь и сразу, и восстановился только после удаления пакета сквид. Я конечно понимаю, что линуксовый дистрибутив, не так прост в освоении без соответствующих знаний, и т.д. но чтобы вот так городить проблемы на ровном месте? Этого я не понимаю...
Может быть есть какое-то другое решение, помимо pfSense, более простое и надежное под наши хотелки? А наши хотелки ограничиваются блокировкой доступа на заданные сайты в заданное время. Желательно и по https тоже. Опыт работы с Зентьялом есть, но он не умеет в фильтрацию https (либо опять же я не нашел удобного способа) и к тому же ломает работу с некоторыми гос. порталами (закупки, торги и т.д.), пришлось от него отказаться совсем.
Вот. Дошли руки попытаться возродить pfSense, но что-то руки у меня к нему определенно не заточены. В первый раз, когда я за него взялся, нашел какую-то неудачную инструкцию, делал по ней и в итоге интернет вообще отвалился, пришлось на время отложить идею.
Второй подход.
Взял опять тот же pfSense (версия 2.2.6), сделал ему сброс до заводских настроек, заново настроил интерфейсы Wan и Lan, проверил - интернет работает нормально.
Настроил проброс портов для доступа к нашим ресурсам из внешки, снова проверил - всё работает, всё нормально.
Дальше надо настроить блокировку сайтов, т.е. прозрачный прокси. Снова нашел инструкцию, на этот раз вот такую Как настроить в PfSense прозрачный (transparent) прокси на Squid с просмотром статистики по ip адресам? (http://backnet.ru/2012/01/31/pfsense-prozrachnyiy-proksi-server-squid/). Сделал всё по ней установил пакеты squid и Lightsquid, настроил, всё проверил, всё работает.
Дальше перешел к следующему шагу там же Как настроить в PfSense фильтр для блокировки сайтов или какого либо контента? (http://backnet.ru/2012/02/06/pfsense-nastroyka-filtra-web-dostupa/). Начал делать. Установил SquidGuard, прочитал следующую строчку:
После установки пакета, идем в меню Service - Proxy filter и видим следующие настройки пакета.
Ставим галочку напротив Enable ну и остальные можно так же проставить, за исключением опций Blacklist options, эта опция в этой статье не понадобится.
Поставил указанную галку, но pfSense ругнулся с требованием сначала прописать 127.0.0.1 куда-то во вкладке Access Control в настройках ProxyServer. К сожалению более точно сказать не смогу, поскольку нет возможности воспроизвести ошибку. В общем, я выполнил его требование, повключал галки, указанные в статье. Ещё ничего толком не сделал, ни одного сайта ничего и близко не блокировал, и вот тут началось. Решил в очередной раз проверить, как там работает интернет. Интернет-то работал нормально, но вот yandex, mail и ещё пара сайтов отдавали ошибку 403 forbidden с логотипом pfSense (т.е. сразу ясно, откуда уши). Естественно сотрудники подняли тревогу "у нас интернет не работает!!!расрас".
Начал последовательно откатывать проделанные шаги, но ничего не помогало. Наконец удалил все три установленных пакета SquidGuard, Lightsquid и сам squid, на всякий случай дополнительно перезагрузил шлюз, доступ к проблемным сайтам восстановился, но ценой возврата практически к исходному нулю.
Вот я просто теряюсь, в чем моя ошибка? Вроде делал всё дословно, никуда не отклоняясь, никакой самодеятельности, почему вдруг произвольно отвалился доступ к части сайтов, как этого избежать?
Более того, попытался было заново установить удаленные пакеты, squid как бы установился, но в установленных не появился. Lightsquid нормально установился. Затем заметил отсутствие сквида, установил его ещё раз, он появился в списке, но на сей раз интернет опять отвалился весь и сразу, и восстановился только после удаления пакета сквид. Я конечно понимаю, что линуксовый дистрибутив, не так прост в освоении без соответствующих знаний, и т.д. но чтобы вот так городить проблемы на ровном месте? Этого я не понимаю...
Может быть есть какое-то другое решение, помимо pfSense, более простое и надежное под наши хотелки? А наши хотелки ограничиваются блокировкой доступа на заданные сайты в заданное время. Желательно и по https тоже. Опыт работы с Зентьялом есть, но он не умеет в фильтрацию https (либо опять же я не нашел удобного способа) и к тому же ломает работу с некоторыми гос. порталами (закупки, торги и т.д.), пришлось от него отказаться совсем.