Skocz do zawartości


 

Zdjęcie

jak ograniczyc vpn do przeglądania tylko wybranych stron

jak ograniczyc vpn do przeglądania tylko wybranych stron

  • Proszę się zalogować aby odpowiedzieć
12 odpowiedzi na ten temat

jak ograniczyc vpn do przeglądania tylko wybranych stron

#1 miras

miras

    Regularny użytkownik

  • Użytkownicy
  • 91 postów

Napisany 27 sierpień 2017 - 10:25

Witam, jest jakaś możliwość, zeby ograniczyc vpn w taki sposob, ze jak ktoś sie z nim połączy to bedzie miał możliwość przegladania tylko tych stron, ktore beda 'dodane' w jakims pliku konfiguracyjnym?
  • 0

#2 mkkot

mkkot

    Nowy użytkownik

  • Użytkownicy
  • 5 postów

Napisany 27 sierpień 2017 - 11:00

Tak, poczytaj o /etc/hosts.


  • 0

#3 Jarosław Szmańda

Jarosław Szmańda

    Weteran WHT

  • Firma Bronze
  • PipPipPipPipPipPipPipPip
  • 1408 postów
  • Skąd:Malbork
  • Firma:datpol.pl
  • Imię:Jarosław
  • Nazwisko:Szmańda

Napisany 27 sierpień 2017 - 11:11

Może własny serwer DNS i 'wypchanie' do żeby zapytanie klienta leciały przez niego?


  • 0

#4 Bartosz Z

Bartosz Z

    Weteran WHT

  • WHT Pro
  • PipPipPipPipPipPipPipPip
  • 833 postów
  • Skąd:Lubelskie
  • Imię:Bartosz

Napisany 27 sierpień 2017 - 11:54

Może własny serwer DNS i 'wypchanie' do żeby zapytanie klienta leciały przez niego?

Słabe :)

IPTables i filtrowanie po adresach IP serwerów z blokowanymi stronami.
Filtrowanie na warstwie 7, może jakieś proxy na Squid?
  • 0

#5 Gość_mariaczi_*

Gość_mariaczi_*
  • Goście

Napisany 27 sierpień 2017 - 12:18

Tak jak wspomniał powyżej Bartek, transparentne proxy i "masz co chcesz" ;)


  • 0

#6 murgal

murgal

    Stały użytkownik

  • WHT Pro
  • PipPipPipPipPip
  • 330 postów

Napisany 27 sierpień 2017 - 21:38

Transparentne proxy i brak SSL. Słabe.

 

Firewall. 


  • 0

#7 Vasthi

Vasthi

    Weteran WHT

  • WHT Pro
  • PipPipPipPipPipPipPipPip
  • 647 postów

Napisany 27 sierpień 2017 - 23:17

W Squid działa transparentne proxy ssl bez instalowania certyfikatów u siebie. Tylko jak to wspiąć z vpn.
  • 0

#8 Bartosz Z

Bartosz Z

    Weteran WHT

  • WHT Pro
  • PipPipPipPipPipPipPipPip
  • 833 postów
  • Skąd:Lubelskie
  • Imię:Bartosz

Napisany 28 sierpień 2017 - 06:50

Transparentne proxy i brak SSL. Słabe.

 

Firewall. 

 

W którym miejscu brak SSL? Squid obsługuje terminowanie i rozszywanie SSL od dawna i nie zrezygnowali z tego w najnowszej wersji: http://wiki.squid-ca...eatures/SslBump
Jeśli klient ma skonfigurowanego VPNa, to nie widzę problemu w konfiguracji cerytfikatu Squida u klienta.

 

Firewall i filtrowanie po docelowym IP jest również średnie, bo co w przypadku dopuszczenia domen zza CloudFlare (przykładowo)? Dopuszczamy całą ich adresację, więc wszystkie domeny korzystające z CloudFlare.

 

W Squid działa transparentne proxy ssl bez instalowania certyfikatów u siebie. Tylko jak to wspiąć z vpn.

 

Podejrzewam, że wystarczy wystawić Squida na podsieci VPNowej i przekierować ruch z portów 80 i 443 TCP na adres Squida.


Edytowany przez Bartosz Z, 28 sierpień 2017 - 06:51.

  • 0

#9 miras

miras

    Regularny użytkownik

  • Użytkownicy
  • 91 postów

Napisany 07 wrzesień 2017 - 14:15

Wrzuciłem coś takiego:

sudo iptables -A INPUT -s 192.168.2.150-170/24 -p tcp --dport 80 -j REJECT
sudo iptables -A OUTPUT -s 192.168.2.150-170/24 -p tcp --dport 80 -j REJECT
sudo iptables-save

łącze się z telefonu z vpn i mogę korzystać ze wszystkich stron,  192.168.2.150-170 - taka pula adresów jest ustawiona w remoteip w konfiguracji pptp


  • 0

#10 miras

miras

    Regularny użytkownik

  • Użytkownicy
  • 91 postów

Napisany 07 wrzesień 2017 - 19:17

Ogólnie teraz reguły wyglądają tak:

sudo iptables -F FORWARD
sudo iptables -F INPUT 
sudo iptables -F OUTPUT 


sudo iptables -A OUTPUT -j ACCEPT
sudo iptables -A FORWARD -p tcp --dport 53 -d skrill.com -j ACCEPT
sudo iptables -A FORWARD -p udp --dport 53 -d skrill.com -j ACCEPT
sudo iptables -A FORWARD -p tcp --dport 80 -d skrill.com -j ACCEPT
sudo iptables -A FORWARD -p tcp --dport 443 -d skrill.com -j ACCEPT
sudo iptables -A FORWARD -p tcp --dport 80  -j DROP
sudo iptables -A FORWARD -p tcp --dport 443  -j DROP
sudo iptables -A OUTPUT -j ACCEPT
sudo iptables-save

efektem czego jest to, że nie mogę wejść konkretnie na żadną stronę oprócz google.pl i co ciekawsze mogę normalnie wyszukiać w google, ale nie mogę już wejść na konkretną stronę nawet z tych wyników wyszukiania...


  • 0

#11 Gość_mariaczi_*

Gość_mariaczi_*
  • Goście

Napisany 07 wrzesień 2017 - 19:18

Z ciekawości :D

sudo iptables -A INPUT -s 192.168.2.150-170/24 -p tcp --dport 80 -j REJECT
sudo iptables -A OUTPUT -s 192.168.2.150-170/24 -p tcp --dport 80 -j REJECT

Powyższe polecenia wpisz ręcznie z palca w konsoli i pokaż co zwraca.

 


  • 0

#12 miras

miras

    Regularny użytkownik

  • Użytkownicy
  • 91 postów

Napisany 07 wrzesień 2017 - 19:41

Zwracać nic nie zwraca, po zapisaniu, iptables -L zwraca to:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     tcp  --  anywhere             anywhere             tcp spt:domain
ACCEPT     udp  --  anywhere             anywhere             udp spt:domain
REJECT     tcp  --  62.138.238.0/24      anywhere             tcp dpt:http reject-with icmp-port-unreachable
REJECT     tcp  --  62.138.239.0/24      anywhere             tcp dpt:http reject-with icmp-port-unreachable

Chain FORWARD (policy DROP)
target     prot opt source               destination         
ACCEPT     udp  --  anywhere             anywhere             udp dpt:domain
ACCEPT     tcp  --  anywhere             skrill.com           tcp dpt:http
ACCEPT     tcp  --  anywhere             skrill.com           tcp dpt:https
DROP       tcp  --  anywhere             anywhere             tcp dpt:http
DROP       tcp  --  anywhere             anywhere             tcp dpt:https

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:domain
ACCEPT     udp  --  anywhere             anywhere             udp dpt:domain
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            
REJECT     tcp  --  62.138.238.0/24      anywhere             tcp dpt:http reject-with icmp-port-unreachable

  • 0

#13 Gość_mariaczi_*

Gość_mariaczi_*
  • Goście

Napisany 07 wrzesień 2017 - 19:51

Zwracać nic nie zwraca...

Jaja sobie robisz? U ciebie nic nie zwraca a na moim linuksie zwraca? Wali błędem w oczy, że hej:

$ sudo iptables -A OUTPUT -s 192.168.254.10-100/24 -p tcp --dport 80 -j REJECT
iptables v1.6.0: host/network `192.168.254.10-100' not found
Try `iptables -h' or 'iptables --help' for more information.

I działać nie ma prawa :)


  • 0





0 użytkowników czyta ten temat

0 użytkowników, 0 gości, 0 anonimowych użytkowników