[Guest]

Значит нужно перенастраивать...

[Guest]

А можно конкретному пользователю закрыть конкретный сайт?

[mar]

Guest
можно - через squid, а лучше squid+squidguard. Но стоит иметь в виду, что сейчас развивается такая вещь, как httptunneling, позволяющая заворачивать tcp/ip - пакеты в http-запросы. Соответственно, все может превратиться в бесконечную погоню за пользователем и воспитением у него хакерских наклонностей.

[Barracuda]

Так, не оффтопим.
Protsko
А попробуйтей настроиться на свой ДНС-сервер и по имени пингануть что-то снаружи... Коль в вас болтом запустят - ойте свой ДНС. Форвардеров настройте в ДНСе. Как в Винде делается - не знаю ...

Barracuda Интересная мысль. Но сейчас я имею такую схему:

_______        ____________________         __________     ____
|              |      |                                        |      |                   |    |       |
|Локалка |--- | маршрутизатор FreeBSD|--- | Провайдер |-- |Инет|
|_______|      |____________________|      |_________|     |____|
ТУт есть          Он настроен на их ДНС             Тут, есте-
Наш ДНС                                                            ственно
сервер                                                                свой ДНС
                                                                             Сервер
                                                                      и маршрутизатор

Ситуция такая
-За локалкой нет ничего
-за провом есть инет
-локалка настраивается на маршрутизатор, который перенаправляет в свою очередь пакеты маршрутизатору прова
- маршрутизатор прова направляет их в инет.

Всё выглядит не плохо, если пользовать прокси -сервер.
Все машины остаются в нашем домене.

С другой стороны программы отказываются (клиент-банки все) работать через прокси.

А вот если им настроить ДНС сервер Прова нашего и при етом указать основной шлюз наш маршрутизатор - всё работает на "УрА". Но это означает, что мы используем маршрутизатор, не для того что б пользоваться интернетом, а для того что б подключиться к ДНС серверу Нашего провайдера.

Вопрос: Зачем Для чего собственный ДНС, если половина компов подключена к нему, а половина к ДНС провайдера?

Теперь попробуем перенастроить ДНС на маршрутизаторе с Прова на нас. Тогда мы получим в нашем Домене ещё одну машину и потеряем маршрутизатор. Или я не прав?
С другой стороны. Это реально - перенастроить его на нас, но при этом прийдёться ещё что то менять, а вот что?
Я могу только догадываться, что таблицу маршрутизации прийдётся в корень изменить и ещё что - то в этом духе.
Может кто делал это реально?
И ещё есть предположение, что если сделать такие настройки, то реально пров из своего Домена потеряет одну машину :-). И что б всё заработало - нужно будет ещё и ему кое-какие настройки сделать... А ему это ух не понравится ;-))

[mar]

Protsko
честно говоря, не вижу ничего страшного в том, чтобы, открыв на  маршрутизаторе FreeBSD 53 порт, пользоваться DNS-ом провайдера.
Если  это почему-то не вариант (а можно узнать почему?), то ставьте себе собственный DNS, который будет, например,  брать верхние зоны от провайдера, а внутренняя зона будет прописанна для ваших внутренних машин (и никого снаружи касаться не будет). Тут возможны всякие варианты, но для того чтобы с ними разбираться нужно четко определиться с задачами

Цитата:

честно говоря, не вижу ничего страшного в том, чтобы, открыв на  маршрутизаторе FreeBSD 53 порт, пользоваться DNS-ом провайдера. Если  это почему-то не вариант (а можно узнать почему?),

mar

Да потому, что если у них прописан ДНС провайдера, то правила файервола на них не действуют.

Добавлено:

Цитата:

то ставьте себе собственный DNS, который будет, например,  брать верхние зоны от провайдера, а внутренняя зона будет прописанна для ваших внутренних машин (и никого снаружи касаться не будет).

mar

Так ДНС у нас стоит, а как научить его брать эти самые верхние зоны от провайдера?


Добавлено:

Вообщем проблему я решил.
В настройках машин клиентов прописал наш ДНС, а основной шлюз поставил айпишник нашего маршрутизатора.
Вот только не дегче от этого стало. Во-первых использование прокси-сервера на клиентских машинах нужно отключить и тогда клиент-банк заработает. А вот что б в инете полазить, то нужно обратно прокси включить. Вот так прийдётся пользователям каждый раз. Но это ведь не выход.
Во-вторых, машины, на которых порписан основной шлюз, в сеть начали логиниться ровно по 20 минут. Можете представить.

Так что лучше б я этого не видел и врагам не пожелаю....

[mar]

Цитата:

Да потому, что если у них прописан ДНС провайдера, то правила файервола на них не действуют

то есть это как???

Цитата:

Во-первых использование прокси-сервера на клиентских машинах нужно отключить и тогда клиент-банк заработает. А вот что б в инете полазить, то нужно обратно прокси включить

Если клиент-банк ходит через броузер, то в настройках броузера указать адрес, по которому ходим без прокси.

Цитата:

Во-вторых, машины, на которых порписан основной шлюз

если это (судя по рисунку) локалка (адреса вида 192.168.х.х), то основным и единственным шлюзом для них должен быть ip внутренней карточки Вашего FreeBSD-ого роутера.

Цитата:

Так ДНС у нас стоит

где? на роутере, или внутри на этих самых 192.168..... ?

Цитата:

то есть это как???

Вот так. Если стоит ДНС провайдера, то интернет летает без прокси, клиент-банк работает, но файерволом этим машинам запретить ничего нельзя. Они типа богов у нас в сетке.

Цитата:

Если клиент-банк ходит через броузер, то в настройках броузера указать адрес, по которому ходим без прокси.

Он не через броузер ходит. Есть два варианта:
1. создаётся для него отдельное диал-ап подключение (их номер телефона, их домен и т.п.)
2. Через интернет. В самой программе есть возможность выбрать тип подключения. Я выбираю его подключение и он по диал-апу своему колбасит. И есть ещё один пункт "Любое доступное". Это означает, что даже если я простым диалапом подключюсь к инету, а у него будет стоять эта настройка он его на лету поймает и пойдёт в банк по указанному в настройках программы адресу банковского сервера. Если же это не диал-ап, то пословам разработчиков этого клятого клиент-банка, при установке пункта "любое доступное" он автоматом определяет настройки прокси и вперёд.
Это всё работает, но не на том уровне. Если ДНС моего прова указан, то и клиент-банк работает и инет без явного указания прокси. Стоит только поставить наш ДНС. Всё перестаёт работать. Но как только прокси включить - инет работает, а клиент-банк - посылает.

Цитата:

если это (судя по рисунку) локалка (адреса вида 192.168.х.х), то основным и единственным шлюзом для них должен быть ip внутренней карточки Вашего FreeBSD-ого роутера.

Всё так и есть как Вы говорите. И сеть типа 192.168 и шлюз основной и единственный стоит адрес внутренней карточки нашего маршрутизатора под фри. ДНС стоит наш. вот в таки расскладах всё идеально. И праила файервола работают на все машины и клиент-банк ходит в сеть правда при условии что прокси не включена (при этом же условии и инет не работает просто на врема входа в инет нужно ручками прокси включить, тогда клиент-банк отключится), вот только компы эти логиниться начинают в сеть по 20 минут. Лихо?

Цитата:

где? на роутере, или внутри на этих самых 192.168..... ?

Я ж обрисовывал: на 192.168.....  свой ДНС, а на роутере ДНС прова....

[Barracuda]

Нихрена не понял... Причём тут файрвол до машин с установленным, в качестве ДНС-сервера, ДНС-сервером провайдера...
На роутере строите ДНС сервер, у которого, в качестве форвардера (есть такая фича полезная), стоит сервер провайера. В чём прелесть фичи - читайте матчасть. У меня именно так всё и работает. В качестве основного сервера ДНС на клиентах прописан наш сервер (он же роутер). Если (сервер) он не знает чей-то адрес, то он лезет в инет сам, а не клиент этим занимается... А клиенту вообще надо  отрубить выход по днс-запросам в инет - ибо нефиг лишний (хоть и копеечный) траффик генерить...
этого, чтобы не быть голословным, попробуйте по внешнему имени кого-нит пингануть (тот же yandex.ru - почему-то истрически сложилось так, что первым пингую его при проверке работы ДНС) и послушайте траффик при этом (на роутере, ессно). Если болт, то займитесь настройкой ДНС-сервера... Ну а если пингуется копайте глубже... То, что сквид резольвит имена - это далеко не факт корректной работы ДНС и, тем более, не факт корректной настройки сети в целом.