https://www.opennet.me/openforum/vsluhforumID12/6793.html Добрый день! Прошу помочь, неопытному и начинающеиу админу линукс шлюза, сильно не пинайте пожалуйста! В общем история такая, недавно от начальства поступил приказ, ограничить простым пользователям доступ на сайты типа контакта и ютуба, я создал несколько ACL, в файлах которых приведены ip начальства которым необходим полный доступ, также были созданы ACL со списком запрещенных сайтов. Проверил все работало, прописал политику в AD чтобы у всех была прописана прокся автоматом, подправил страницы добавил текст ошибки доступа к запрещенным файлам, отчитался начальству, а сегодня вот пришел начальник и сделал выговор сказал что я делаю поблажки половине офиса и они тратят трафик как хотят, начал проверять, оказалось если отключить прокси в браузере, то открывается полный доступ на все ресурсы!!! Подскажите в чем может быть проблема? Ниже привожу текст конфига сквида и текст файло ACL файл начальства chief и файл запрещенных сайтов bad.<br><br>config squid<br><br>---------------------------------------------------------- https://www.opennet.me/openforum/vsluhforumID12/6793.html#8 Fri, 16 Nov 2012 11:13:51 GMT <br>Эти пользователи ходят в инет не через прокси а напрямую через файервол и нат.<br>Придется править файервол.<br> https://www.opennet.me/openforum/vsluhforumID12/6793.html#7 Tue, 02 Oct 2012 08:10:19 GMT &gt; Возможно загвоздка в iptables. его настраивал не я,а другой админ.но я не <br>&gt; уверен что дело в нем.<br><br>угу в нем! Отключите NAT для ip адресов пользователей, оставьте только для себя любимого и для серверов в локали.<br><br><br> https://www.opennet.me/openforum/vsluhforumID12/6793.html#6 Tue, 02 Oct 2012 03:57:14 GMT &gt;&gt; Возможно загвоздка в iptables. его настраивал не я,а другой админ.но я не <br>&gt;&gt; уверен что дело в нем.<br>&gt; Загвоздка именно в нем (в файрволле), правила разрешают всем всё, а вы <br>&gt; ожидаете что будет ровно наоборот.<br><br>Если не хотите прозрачным делать, я сделал проще, взял через GPO убрал пункт в IE подключения, больше они не могут изменять там настройки, то есть убрать прокси. Правда при этом надо снести остальные браузеры.<br> https://www.opennet.me/openforum/vsluhforumID12/6793.html#5 Tue, 03 Apr 2012 04:47:39 GMT <br>&gt; Возможно загвоздка в iptables. его настраивал не я,а другой админ.но я не <br>&gt; уверен что дело в нем.<br><br>Загвоздка именно в нем (в файрволле), правила разрешают всем всё, а вы ожидаете что будет ровно наоборот.<br><br> https://www.opennet.me/openforum/vsluhforumID12/6793.html#4 Mon, 02 Apr 2012 16:28:11 GMT &gt;&gt; Почитай про прозрачный прокси.<br>&gt; Извиняюсь, а можно поподробней, гуглил но что то решения моей проблемы не <br>&gt; нашел.<br><br>заворачиваем принудительно все запросы на 80 порты в squid:<br><br>iptables -A PREROUTING -s 192.168.0.0/24 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.1:3128 <br><br>где 192.168.0.0/24 сетка<br>192.168.0.1 адрес внутреннего интерфейса шлюза<br>3128 - порт на котором слушает squid<br> https://www.opennet.me/openforum/vsluhforumID12/6793.html#3 Mon, 02 Apr 2012 13:39:40 GMT http://www.opennet.ru/search.shtml?exclude=index%7C%2Fman.shtml&words=%D0%D2%CF%DA%D2%C1%DE%CE%D9%CA+%D0%D2%CF%CB%D3%C9<br>http://www.opennet.ru/base/net/transparent_proxy.txt.html<br><br>смысл - проксировать определённые порты натя их на сквид, остальное забанить фаерволом. никакие настройки прокси у клиентов прописывать на надо.<br> https://www.opennet.me/openforum/vsluhforumID12/6793.html#2 Mon, 02 Apr 2012 13:24:15 GMT &gt; Почитай про прозрачный прокси.<br><br>Извиняюсь, а можно поподробней, гуглил но что то решения моей проблемы не нашел.<br> https://www.opennet.me/openforum/vsluhforumID12/6793.html#1 Mon, 02 Apr 2012 13:15:36 GMT Почитай про прозрачный прокси.<br>