Author Topic: firewall  (Read 2210 times)

zlodei

  • Zen Apprentice
  • *
  • Posts: 6
  • Karma: +0/-0
    • View Profile
firewall
« on: November 18, 2016, 06:25:45 am »
добрый день, вопрос как заблокировать сайт(ы) через firewall?
все что мог попробовал, ничего не вышло(

кто нить что нить может рассказать по данному вопросу?

luha

  • Zen Samurai
  • ****
  • Posts: 479
  • Karma: +36/-1
    • View Profile
Re: firewall
« Reply #1 on: November 18, 2016, 11:27:11 am »
Говорим о вебморде?
- Чтобы взаимодействовать с хостами на уровне доменных имён больше подходит не файервол а прокси.
- Чтобы банить по IP в настройках сети нужно создать объект и туда вносить IP (или подсети) в виде объектов, дальше в настройках файервола в оснастке перенаправления портов перенаправляем группу этих объектов на неиспользуемый IP (что создаёт неплохой эффект потерянности хоста вместо стандартных отлупов).
- Можно даже в DNS создавать пустые зоны или загибать куда-нибудь эти адреса (подходит для небольшого количества зон и будет работать для локальных клиентов при условии что они используют этот сервер как DNS).
- ну и в том же духе в зависимости от обстоятельств и нужд.

Если же подключить консоль то IPTABLES может много. Единственное замечание - зенчал не заточен для такой работы и при любом случае скидывает настройки модулей... вместо обычный методов правила нужно забивать в его конфиги.

zlodei

  • Zen Apprentice
  • *
  • Posts: 6
  • Karma: +0/-0
    • View Profile
Re: firewall
« Reply #2 on: November 28, 2016, 04:12:07 am »
1 в zentyal 4.0 и выше нет прокси
2 созданы объекты с IP адресами сайта, не работает, сайт доступен
3 попробую на счет пустых DNS зон

Sand_man

  • Zen Samurai
  • ****
  • Posts: 280
  • Karma: +24/-0
    • View Profile
Re: firewall
« Reply #3 on: November 28, 2016, 06:25:37 am »
В zentyal 4.0 есть прокси, выше нет. В 5.0 снова появится.
Что за сайт, если не секрет? http или https?

zlodei

  • Zen Apprentice
  • *
  • Posts: 6
  • Karma: +0/-0
    • View Profile
Re: firewall
« Reply #4 on: November 28, 2016, 07:37:25 am »
сайты как https так и http, на счет  4,0 zentyal гляну, но вроде тама не обнаружил проксю

Sand_man

  • Zen Samurai
  • ****
  • Posts: 280
  • Karma: +24/-0
    • View Profile
Re: firewall
« Reply #5 on: November 28, 2016, 09:32:05 am »
1. https - создан объект (пусть будет "Запрещённые https"), туда добавлены ip и диапазоны ip, к которым нужно запретить доступ. В файрвол-фильтры пакетов-правила фильтрации между внутренними сетями добавлено правило (повыше): "запрещено", источник - "любой", назначение - объект "Запрещённые https", служба - "любой".
2. http - основная масса, которым нефиг шариться где не попадя по просторам Интернета, ходит по белому списку в прокси. У остальных полный доступ. Правда, в прокси - списки категорий подгружен shallalist, и стоят запреты на соцсети (доступ к которым по https как раз заблокирован в первом пункте) и тому подобное.
« Last Edit: November 28, 2016, 09:36:35 am by Sand_man »

zlodei

  • Zen Apprentice
  • *
  • Posts: 6
  • Karma: +0/-0
    • View Profile
Re: firewall
« Reply #6 on: November 28, 2016, 10:27:58 am »
повторюсь прокси отсутствует, во-вторых почему то через объект не все сайты блочатся, в третих работает пустая DNS зона.
выйдет 5,0 версия буду тестить.

luha

  • Zen Samurai
  • ****
  • Posts: 479
  • Karma: +36/-1
    • View Profile
Re: firewall
« Reply #7 on: November 28, 2016, 11:24:16 am »
Метод выбирается в зависимости от целей и обстоятельств (универсального решения быть не может), главное гибче подходить к вопросу и не стесняться. По IP блокируются из-вне, по зонам из локалки, но и то и другое легко обходится при желании (VPN, тор, прокси... и т.д.).

Зенчал умеет обрабатывать протоколы, порты и IP на уровне файервола и доменные имена на уровне DNS. Если бы в вашей версии был прокси то умел бы ещё и проксить. Вот собственно с этим и приходится жить.

zlodei

  • Zen Apprentice
  • *
  • Posts: 6
  • Karma: +0/-0
    • View Profile
Re: firewall
« Reply #8 on: November 28, 2016, 11:51:55 am »
так как нужня прокся буду ждать 5,0 версию либо переходить на 3,5

Sand_man

  • Zen Samurai
  • ****
  • Posts: 280
  • Karma: +24/-0
    • View Profile
Re: firewall
« Reply #9 on: November 28, 2016, 12:13:29 pm »
Ждём 5 версию, завтра выходит. Повторюсь, в 4.0 есть прокси (у меня она сейчас работает), не надо 3.5 ставить.
« Last Edit: November 28, 2016, 12:15:07 pm by Sand_man »

luha

  • Zen Samurai
  • ****
  • Posts: 479
  • Karma: +36/-1
    • View Profile
Re: firewall
« Reply #10 on: November 28, 2016, 12:49:54 pm »
Надо будет затестить что там в пятой версии сделали. Всёже на третьей сидеть и другим предлагать становится как-то чудно. Спасибо за информацию, следить нет времени.

luha

  • Zen Samurai
  • ****
  • Posts: 479
  • Karma: +36/-1
    • View Profile
Re: firewall
« Reply #11 on: November 29, 2016, 10:16:32 am »
А где теперь брать коммунити эдишэн? На оф.сайте висит линк на девелопмент и даже не пахнет никаким коммунити. Я так понимаю что даже если выложат сегодня пятую версию то только девелопмент.

Sand_man

  • Zen Samurai
  • ****
  • Posts: 280
  • Karma: +24/-0
    • View Profile
Re: firewall
« Reply #12 on: November 29, 2016, 01:46:36 pm »
Может это они так на ходу переобулись переобозвались?
PS "Use winbind instead of sssd" - блин, у меня подключение машин с Ubuntu к Zen4.0 через sssd делалось, всё привычно уже было, приготовлено заранее, оффлайн всякий...

luha

  • Zen Samurai
  • ****
  • Posts: 479
  • Karma: +36/-1
    • View Profile
Re: firewall
« Reply #13 on: November 29, 2016, 03:05:49 pm »
Постоянно меняют от версии к версии. В принципе может и хорошо т.к. пытаются избавиться от глюков методом исключения всего кроме чего-то одного (строят типа на чистой самбе).

Думаю можно попробовать прикрутить sssd на силу если очень нужно. Вероятно ещё кто-то столкнётся, как уже не раз было с другими запиленными пакетами и выложит в английской ветке рецепт вкорячивания.

5-ка уже доступна, но так и не понял... коммунити вообще не делают уже?

Sand_man

  • Zen Samurai
  • ****
  • Posts: 280
  • Karma: +24/-0
    • View Profile
Re: firewall
« Reply #14 on: November 29, 2016, 06:34:49 pm »
>>Может это они так на ходу переобулись переобозвались?

Это я про девелопмент->коммьюнити. Думаю, тут надо поставить =