Zentyal Forum, Linux Small Business Server
International => Russian => Topic started by: zlodei on November 18, 2016, 06:25:45 am
-
добрый день, вопрос как заблокировать сайт(ы) через firewall?
все что мог попробовал, ничего не вышло(
кто нить что нить может рассказать по данному вопросу?
-
Говорим о вебморде?
- Чтобы взаимодействовать с хостами на уровне доменных имён больше подходит не файервол а прокси.
- Чтобы банить по IP в настройках сети нужно создать объект и туда вносить IP (или подсети) в виде объектов, дальше в настройках файервола в оснастке перенаправления портов перенаправляем группу этих объектов на неиспользуемый IP (что создаёт неплохой эффект потерянности хоста вместо стандартных отлупов).
- Можно даже в DNS создавать пустые зоны или загибать куда-нибудь эти адреса (подходит для небольшого количества зон и будет работать для локальных клиентов при условии что они используют этот сервер как DNS).
- ну и в том же духе в зависимости от обстоятельств и нужд.
Если же подключить консоль то IPTABLES может много. Единственное замечание - зенчал не заточен для такой работы и при любом случае скидывает настройки модулей... вместо обычный методов правила нужно забивать в его конфиги.
-
1 в zentyal 4.0 и выше нет прокси
2 созданы объекты с IP адресами сайта, не работает, сайт доступен
3 попробую на счет пустых DNS зон
-
В zentyal 4.0 есть прокси, выше нет. В 5.0 снова появится.
Что за сайт, если не секрет? http или https?
-
сайты как https так и http, на счет 4,0 zentyal гляну, но вроде тама не обнаружил проксю
-
1. https - создан объект (пусть будет "Запрещённые https"), туда добавлены ip и диапазоны ip, к которым нужно запретить доступ. В файрвол-фильтры пакетов-правила фильтрации между внутренними сетями добавлено правило (повыше): "запрещено", источник - "любой", назначение - объект "Запрещённые https", служба - "любой".
2. http - основная масса, которым нефиг шариться где не попадя по просторам Интернета, ходит по белому списку в прокси. У остальных полный доступ. Правда, в прокси - списки категорий подгружен shallalist, и стоят запреты на соцсети (доступ к которым по https как раз заблокирован в первом пункте) и тому подобное.
-
повторюсь прокси отсутствует, во-вторых почему то через объект не все сайты блочатся, в третих работает пустая DNS зона.
выйдет 5,0 версия буду тестить.
-
Метод выбирается в зависимости от целей и обстоятельств (универсального решения быть не может), главное гибче подходить к вопросу и не стесняться. По IP блокируются из-вне, по зонам из локалки, но и то и другое легко обходится при желании (VPN, тор, прокси... и т.д.).
Зенчал умеет обрабатывать протоколы, порты и IP на уровне файервола и доменные имена на уровне DNS. Если бы в вашей версии был прокси то умел бы ещё и проксить. Вот собственно с этим и приходится жить.
-
так как нужня прокся буду ждать 5,0 версию либо переходить на 3,5
-
Ждём 5 версию, завтра выходит. Повторюсь, в 4.0 есть прокси (у меня она сейчас работает), не надо 3.5 ставить.
-
Надо будет затестить что там в пятой версии сделали. Всёже на третьей сидеть и другим предлагать становится как-то чудно. Спасибо за информацию, следить нет времени.
-
А где теперь брать коммунити эдишэн? На оф.сайте висит линк на девелопмент и даже не пахнет никаким коммунити. Я так понимаю что даже если выложат сегодня пятую версию то только девелопмент.
-
Может это они так на ходу
переобулись переобозвались?
PS "Use winbind instead of sssd" - блин, у меня подключение машин с Ubuntu к Zen4.0 через sssd делалось, всё привычно уже было, приготовлено заранее, оффлайн всякий...
-
Постоянно меняют от версии к версии. В принципе может и хорошо т.к. пытаются избавиться от глюков методом исключения всего кроме чего-то одного (строят типа на чистой самбе).
Думаю можно попробовать прикрутить sssd на силу если очень нужно. Вероятно ещё кто-то столкнётся, как уже не раз было с другими запиленными пакетами и выложит в английской ветке рецепт вкорячивания.
5-ка уже доступна, но так и не понял... коммунити вообще не делают уже?
-
>>Может это они так на ходу переобулись переобозвались?
Это я про девелопмент->коммьюнити. Думаю, тут надо поставить =