https://www.opennet.dev/openforum/vsluhforumID1/85440.html Реально ли такое без использования прокси?<br><br>Просто раньше думал что это умеет только прокси, но потом в дешевых маршрутизаторах (D-Link DIR100) увидел что они умеют это и без прокси-сервера.<br><br>Может есть какая-то примочка и для ФРИ?<br><br>P.S. ФРЯ 7.1 х64, ipfw+natd (вариантов под pf не предлагать)<br> https://www.opennet.dev/openforum/vsluhforumID1/85440.html#31 Fri, 24 Aug 2012 08:24:44 GMT &gt; Реально ли такое без использования прокси?<br>&gt; Просто раньше думал что это умеет только прокси, но потом в дешевых <br>&gt; маршрутизаторах (D-Link DIR100) увидел что они умеют это и без прокси-сервера. <br>&gt; Может есть какая-то примочка и для ФРИ?<br>&gt; P.S. ФРЯ 7.1 х64, ipfw+natd (вариантов под pf не предлагать) <br><br>Абсолютно по URL нельзя.<br>Но можно отрезолвить домены и блокировать или разрешать по IP.<br>Минус в данном подходе в том что на одном том же IP может находиться несколько сайтов.<br><br>В моем случае правила разрешающие, поэтому и минуса этого нет.<br><br><br>Создаем скрипт и ставим его в Cron, например раз в день.<br><br>#!/bin/sh<br><br>fwcmd="/sbin/ipfw -q"<br><br>url='jde.ru,api-maps.yandex.ru,maps.yandex.ru,vec.maps.yandex.ru,clck.yandex.ru'<br><br>url2=`echo $url &#124; sed 's/,/ /g'`<br><br>${fwcmd} table 2 flush<br><br>for i in $url2<br>do<br>ip=`nslookup $i &#124; grep -A 1 'Name' &#124; grep -E -o '([0-9]{1,3}\.){3}[0-9]{1,3}'`<br> for y in $ip<br> do<br> #добавляем IP в таблицу<br> ${fwcmd} table 2 add $y<br> done<br>done<br><br>На случай перезагруз https://www.opennet.dev/openforum/vsluhforumID1/85440.html#30 Fri, 12 Jun 2009 07:34:33 GMT фаервол не режет по УРЛам, он понимает только нарезку по IP или по портам.<br>Юзай сквид, можно в паре с rejik'om.<br><br>Google squid<br>Google rejik<br> https://www.opennet.dev/openforum/vsluhforumID1/85440.html#29 Thu, 11 Jun 2009 17:51:36 GMT &gt;3. Если уже есть биллинг, натт, несколько каналов и работает разброс по <br>&gt;каналам, то... <br>&gt;Перенаправление на прокси делать чем-то вроде "fwd ip,port tcp from any to <br>&gt;not me 80 out". <br>&gt;Это правило пихать ПОСЛЕ подсчета биллингом и ПОСЛЕ ната, но ДО окончательного <br>&gt;FWD наружу. <br>&gt;Тогда прокси вообще никак не сломает существующую схему. <br><br>У меня как раз проблема - не режется исходящий траффик, идущий через прокси. Попробую опустить форвард на прокси ниже пайпов, надеюсь поможет.<br><br>&gt;Прозрачный прокси - это мера "против толпы ламеров". <br>&gt;Если человек знает, что такое прокси, то это обходится на раз. <br>&gt;Если все это внутри организации, самые лучшие меры - административные. <br>&gt;А вот для этого прозрачный прокси очень хорошо может помочь, если настроить <br>&gt;его писать запросы юзеров в лог. <br><br>Спасибо, сейчас им и пользуюсь, вполне нормально. Очень помог rejik.ru.<br><br>Как можно отключить кэш в Сквиде, а то тормозит немного. Ждешь пока сначала в кэш загрузит, а потом еще через пайп всеравно с ограниченной скор https://www.opennet.dev/openforum/vsluhforumID1/85440.html#28 Tue, 09 Jun 2009 19:44:50 GMT 1. Нормально и удобно работать с url'ами в прозрачном прокси.<br>Если не нравится squid, можно посмотреть другие прокси, более оптимизированные под скорость.<br>Может быть даже можно прикрутить nginx для этого.<br>Но и сам squid можно настроить и затюнить под простую проверку урлов по acl (отрубить кэш, прописать, чтоб он всегда перенаправлял запросы (direct), и т.д.).<br><br>2. Прозрачных прокси можно поназапускать сколько угодно.<br>Можно по одному прокси на канал.<br>А в каждом прокси прописать опцию что-то типа outgoing_address, чтобы он отсылал запросы со своего внешнего ip.<br>Ещё я бы посоветовал вешать прокси серверы (bind или listen) прямо на внешние ip адреса - схема будет попонятнее и, возможно, чуть меньше геммороя с исходящими пакетами (запрос от клиента до сквида - это один пакет, а запрос сквида на сайт - это уже совсем другой пакет, который в ipfw проходит все правила с начала).<br><br>3. Если уже есть биллинг, натт, несколько каналов и работает разброс по каналам, то...<br>Перенаправление на прокси делать чем-то https://www.opennet.dev/openforum/vsluhforumID1/85440.html#27 Wed, 03 Jun 2009 19:57:03 GMT Пашенька, ты уже затрахал тут всех. Молчал бы - глядишь и за умного сошел.<br> https://www.opennet.dev/openforum/vsluhforumID1/85440.html#26 Wed, 03 Jun 2009 19:54:02 GMT &gt;с ересью, ламота! <br><br>Понятно все. Удачи закончить начальную школу, позорище :)<br> https://www.opennet.dev/openforum/vsluhforumID1/85440.html#25 Wed, 03 Jun 2009 18:09:18 GMT &gt;&gt;мда пздец - ты хоть слыхал про модель OSI/OSI ? <br>&gt;<br>&gt;Можно ближе к теме? :) <br>&gt;<br>&gt;Можно сделать это при помощи ipfw, bind или ipfw + примочки? Например <br>&gt;весь траффик с ipfw пускать через какой-нить програм дивертом, чтоб она <br>&gt;фильтровала. Есть вообще такие программы? <br>&gt;<br>&gt;Надо отучить пользователей лазить по порносайтам, но не хочется поднимать Сквид... <br><br>Административными методами.<br>Гарантия - 100%.<br><br><br><br><br> https://www.opennet.dev/openforum/vsluhforumID1/85440.html#24 Sun, 31 May 2009 18:14:27 GMT 1 squid.opennet.ru<br>2 ман сквид<br>3 http://rejik.ru/ <br>и будет вам счастье.в принцыпе можно поднять прозрачный сквид и неделать кеш то тогда он будет просто с помощью режика блокировать и перенаправлять запросы на нежелаемые вам сайты.<br><br> https://www.opennet.dev/openforum/vsluhforumID1/85440.html#23 Sat, 30 May 2009 06:17:37 GMT &gt;&gt;учи матчасть! <br>&gt;<br>&gt;С чем несогласен, школота? <br><br>с ересью, ламота!<br>