Skocz do zawartości
miras

jak ograniczyc vpn do przeglądania tylko wybranych stron

Polecane posty

Witam, jest jakaś możliwość, zeby ograniczyc vpn w taki sposob, ze jak ktoś sie z nim połączy to bedzie miał możliwość przegladania tylko tych stron, ktore beda 'dodane' w jakims pliku konfiguracyjnym?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Może własny serwer DNS i 'wypchanie' do żeby zapytanie klienta leciały przez niego?

Słabe :)

 

IPTables i filtrowanie po adresach IP serwerów z blokowanymi stronami.

Filtrowanie na warstwie 7, może jakieś proxy na Squid?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość mariaczi

Tak jak wspomniał powyżej Bartek, transparentne proxy i "masz co chcesz" ;)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Transparentne proxy i brak SSL. Słabe.

 

Firewall.

 

W którym miejscu brak SSL? Squid obsługuje terminowanie i rozszywanie SSL od dawna i nie zrezygnowali z tego w najnowszej wersji: http://wiki.squid-cache.org/Features/SslBump

Jeśli klient ma skonfigurowanego VPNa, to nie widzę problemu w konfiguracji cerytfikatu Squida u klienta.

 

Firewall i filtrowanie po docelowym IP jest również średnie, bo co w przypadku dopuszczenia domen zza CloudFlare (przykładowo)? Dopuszczamy całą ich adresację, więc wszystkie domeny korzystające z CloudFlare.

 

W Squid działa transparentne proxy ssl bez instalowania certyfikatów u siebie. Tylko jak to wspiąć z vpn.

 

Podejrzewam, że wystarczy wystawić Squida na podsieci VPNowej i przekierować ruch z portów 80 i 443 TCP na adres Squida.

Edytowano przez Bartosz Z (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Wrzuciłem coś takiego:

sudo iptables -A INPUT -s 192.168.2.150-170/24 -p tcp --dport 80 -j REJECT
sudo iptables -A OUTPUT -s 192.168.2.150-170/24 -p tcp --dport 80 -j REJECT
sudo iptables-save

łącze się z telefonu z vpn i mogę korzystać ze wszystkich stron, 192.168.2.150-170 - taka pula adresów jest ustawiona w remoteip w konfiguracji pptp

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Ogólnie teraz reguły wyglądają tak:

sudo iptables -F FORWARD
sudo iptables -F INPUT 
sudo iptables -F OUTPUT 


sudo iptables -A OUTPUT -j ACCEPT
sudo iptables -A FORWARD -p tcp --dport 53 -d skrill.com -j ACCEPT
sudo iptables -A FORWARD -p udp --dport 53 -d skrill.com -j ACCEPT
sudo iptables -A FORWARD -p tcp --dport 80 -d skrill.com -j ACCEPT
sudo iptables -A FORWARD -p tcp --dport 443 -d skrill.com -j ACCEPT
sudo iptables -A FORWARD -p tcp --dport 80  -j DROP
sudo iptables -A FORWARD -p tcp --dport 443  -j DROP
sudo iptables -A OUTPUT -j ACCEPT
sudo iptables-save

efektem czego jest to, że nie mogę wejść konkretnie na żadną stronę oprócz google.pl i co ciekawsze mogę normalnie wyszukiać w google, ale nie mogę już wejść na konkretną stronę nawet z tych wyników wyszukiania...

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość mariaczi

Z ciekawości :D

sudo iptables -A INPUT -s 192.168.2.150-170/24 -p tcp --dport 80 -j REJECT
sudo iptables -A OUTPUT -s 192.168.2.150-170/24 -p tcp --dport 80 -j REJECT

Powyższe polecenia wpisz ręcznie z palca w konsoli i pokaż co zwraca.

 

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Zwracać nic nie zwraca, po zapisaniu, iptables -L zwraca to:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     tcp  --  anywhere             anywhere             tcp spt:domain
ACCEPT     udp  --  anywhere             anywhere             udp spt:domain
REJECT     tcp  --  62.138.238.0/24      anywhere             tcp dpt:http reject-with icmp-port-unreachable
REJECT     tcp  --  62.138.239.0/24      anywhere             tcp dpt:http reject-with icmp-port-unreachable

Chain FORWARD (policy DROP)
target     prot opt source               destination         
ACCEPT     udp  --  anywhere             anywhere             udp dpt:domain
ACCEPT     tcp  --  anywhere             skrill.com           tcp dpt:http
ACCEPT     tcp  --  anywhere             skrill.com           tcp dpt:https
DROP       tcp  --  anywhere             anywhere             tcp dpt:http
DROP       tcp  --  anywhere             anywhere             tcp dpt:https

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:domain
ACCEPT     udp  --  anywhere             anywhere             udp dpt:domain
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            
REJECT     tcp  --  62.138.238.0/24      anywhere             tcp dpt:http reject-with icmp-port-unreachable

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość mariaczi

Zwracać nic nie zwraca...

Jaja sobie robisz? U ciebie nic nie zwraca a na moim linuksie zwraca? Wali błędem w oczy, że hej:

 

$ sudo iptables -A OUTPUT -s 192.168.254.10-100/24 -p tcp --dport 80 -j REJECT
iptables v1.6.0: host/network `192.168.254.10-100' not found
Try `iptables -h' or 'iptables --help' for more information.

I działać nie ma prawa :)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×