Можно ли через NAT создать отдельные правила для конкретного MAC или IP

[alexbalkan]

В сети настроен прозрачный Squid, некоторые работники находят способы обходить прокси. Вот для них хотелось бы установить жесткие правила. Помогите пожалуста.

[djrust]

как обходят то?

[alexbalkan]

как обходят то?

Откуда же я знаю. Вижу по исходящему трафу его MAC-a. Можно только закрыть через NAT, но это совсем уже. Не понимают люди что в рабочее время они мешают своими действиями. Одновременно и закачка у него идет вдобавок IP телефония с видео. Проблем бы небыло, канал слабоватый, только для работы необходим. Получается что я не могу страницу открыть или мейл проверить, что кто то решает свои вопросы.

[djrust]

Это не обход получается....или?
не совсем понимаю как можно обойти прозрачный прокси...он завернут на 80 порт?так?
Блокируйте все исходящие соединения на внешку,оставляйте только разрешенные,а все остальное на проксю....
На проксе уже ставьте ограничения по скорости

[alexbalkan]

Это не обход получается....или?
не совсем понимаю как можно обойти прозрачный прокси...он завернут на 80 порт?так?
Блокируйте все исходящие соединения на внешку,оставляйте только разрешенные,а все остальное на проксю....
На проксе уже ставьте ограничения по скорости

У меня так и сделано.
iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.2.0/24 -j MASQUERADE
iptables -A FORWARD -i eth0 -o eth0 -j REJECT
iptables -t nat -A PREROUTING -i eth1 ! -d 192.168.2.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.2.200:3128
#https open
iptables -t filter -A FORWARD -p tcp -m tcp --dport 443 -j ACCEPT
Например я сам могу обойти с помощью UltraSurf. Может быть подобным образом обходят прокси.
Может сюда еще чего добавить связанное с ограничением определенных портов, но только для этого адреса.

[djrust]

Например я сам могу обойти с помощью UltraSurf

мне сдается ты через свой прокси к нему же и подключаешься(т.е это не обход)....там 127.0.0.1 9666
У меня вот не работает)))только  у меня не прозрачный!

т.е траф то идет через прозрачный прокси...
умные поправят если не прав!

[alexbalkan]

Например я сам могу обойти с помощью UltraSurf

мне сдается ты через свой прокси к нему же и подключаешься(т.е это не обход)....там 127.0.0.1 9666
У меня вот не работает)))только  у меня не прозрачный!

т.е траф то идет через прозрачный прокси...
умные поправят если не прав!

Ну как бы прав, и я тоже так думаю. Но вот что я сделал во время того когда статистику смотрел, я отключил squid, у меня инета на машине нет, а у него траф прет как по автобану. Вот проблема.
И еще хотел сказать, я новичок и толком не разобрался с NAT как пользоваться iptables "тупо срисовал". Посмотрите правильно ли у меня все описано для заворота на прокси, и чтобы ничто из сети не могло обращаться во внешку кроме прокси.




[/quote]

[AnrDaemon]

как обходят то?

Откуда же я знаю. Вижу по исходящему трафу его MAC-a. Можно только закрыть через NAT, но это совсем уже. Не понимают люди что в рабочее время они мешают своими действиями. Одновременно и закачка у него идет вдобавок IP телефония с видео. Проблем бы небыло, канал слабоватый, только для работы необходим. Получается что я не могу страницу открыть или мейл проверить, что кто то решает свои вопросы.

Вы для начала определитесь, что именно происходит. А для этого, да, надо учиться пользоваться анализаторами трафика.

[alexbalkan]

как обходят то?

Откуда же я знаю. Вижу по исходящему трафу его MAC-a. Можно только закрыть через NAT, но это совсем уже. Не понимают люди что в рабочее время они мешают своими действиями. Одновременно и закачка у него идет вдобавок IP телефония с видео. Проблем бы небыло, канал слабоватый, только для работы необходим. Получается что я не могу страницу открыть или мейл проверить, что кто то решает свои вопросы.

Вы для начала определитесь, что именно происходит. А для этого, да, надо учиться пользоваться анализаторами трафика.

Это и ежу понятно. Я думаю что iptraf очень хороший инструмент в умелых руках, но я толком не умею пользоваться. Там есть Filter ну вот что туда вбивать не знаю. Я вбил туда IP злоумышлиника маску подсети порты от 0 до 99999 и везде поставил галочки Y ну и толком ничего не получил потому как не знаю что надо делать. Подскажите мне пожалуста как мне лучше собрать статистику в LOG  что ли, чтоб как то собрать информацию на этот IP что он делает. Что мне для этого надо сделать. Если можно описать процедуру.

[AnrDaemon]

tcpdump, MAC адрес, wireshark.

[fisher74]

как обходят то?

Откуда же я знаю.

Ответ очевиден

iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT

В Ваших правилах НИЧЕГО не сделано для блокирования нежелательного трафика. Хотя нет... есть слабые потуги ограничить http траффик, который можно считать самым экономным.

[alexbalkan]

как обходят то?

Откуда же я знаю.

Ответ очевиден

iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT

В Ваших правилах НИЧЕГО не сделано для блокирования нежелательного трафика. Хотя нет... есть слабые потуги ограничить http траффик, который можно считать самым экономным.

Что еще можно сделать или добавить чтоб потуги стали более сильными или весомыми!

[fisher74]

убрать

Код: [Выделить]

iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
но добавить

Код: [Выделить]

sudo iptables -P FORWARD DROP
sudo iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
и не забыть про

Код: [Выделить]

sudo iptables -t mangle -A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
После этого начинаем разрешать нужное
Например, если используются провайдерские DNS

Код: [Выделить]

sudo iptables -A FORWARD -p tcp --dport 53 -j ACCEPT
sudo iptables -A FORWARD -p udp --dport 53 -j ACCEPT
Ну или для того же https

Код: [Выделить]

sudo iptables -A FORWARD -p tcp --dport 443 -j ACCEPT

[alexbalkan]

Просьба, я сделал несколько логов с помощью tcpdump связанных с этим адресом, входящий исходящий на этот адрес. Можете глянуть, чтобы как то помочь прояснится.
Пользователь решил продолжить мысль 28 Мая 2014, 10:01:55:

убрать

Код: [Выделить]

iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
но добавить

Код: [Выделить]

sudo iptables -P FORWARD DROP
sudo iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
и не забыть про

Код: [Выделить]

sudo iptables -t mangle -A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
После этого начинаем разрешать нужное
Например, если используются провайдерские DNS

Код: [Выделить]

sudo iptables -A FORWARD -p tcp --dport 53 -j ACCEPT
sudo iptables -A FORWARD -p udp --dport 53 -j ACCEPT
Ну или для того же https

Код: [Выделить]

sudo iptables -A FORWARD -p tcp --dport 443 -j ACCEPT

Если я Вас правильно понял то должно выглядеть так
#iptables -A INPUT -i lo -j ACCEPT
#iptables -P FORWARD DROP
#iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
#iptables -t nat -A POSTROUTING -o eth0 -s 192.168.2.0/24 -j MASQUERADE
#iptables -t mangle -A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
#iptables -A FORWARD -i eth0 -o eth0 -j REJECT
#iptables -t nat -A PREROUTING -i eth1 ! -d 192.168.2.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.2.200:3128
Пользователь решил продолжить мысль 28 Мая 2014, 13:50:44:Вот не знаю. Вроде все сделано а все равно можно работать обходя прокси, опять тот же UltraSurf

[deniska2]

Не стоит мне видимо пока сюды лезть (знаний пока по этой теме мало) ,но вот это немного помогло понять,что да как (для новичков,но повторить сойдёт)
http://linuxru.org/linux/24