system toolbox » router

Razgovarao juče sa Edinom linuxašem na temu odobravanja pristupa google-ovim stranicama na firewall-u

google mjenja range stalno tako da je jedini način da se na firewallu odobri pristup po url-u

što se može uraditi na wrt54GL openwrt routeru:

1) instalirati neki proxy paket koji radi ovaj posao

2) instalirati na jednoj serverskoj sesiji proxy/cache software

squid pored keširanja omogućava ovo filtriranje koliko se sjećam

3) na LAN DNS-u podesiti sljedeće:

forward na internet dns-ove uraditi samo za željene domene (code.google.com, bring.out.ba)

Naravno ovo klijent lahko može prevariti tako što podesi svoj dns resolver, ali u praksi naši klijenti to definitivno neće uraditi :)

varijanta 3) iako je tehnički najlošije rješenje u našem konkretnom slučaju je najlakše rješenje pošto kod svih klijenata imamo već podešene LAN dns servere

sve što je potrebno je podesiti named.conf i/ili zone koje će raditi ovaj posao

ako google ne mjenja ip onda je najlakše na lokalnom dns-u napraviti resolving na statičku IP ili ići kroz hosts. tako će mo forsirtai uvijek set odobrenih IP adresa

Jasmin Beganović je napisao/la:

ako google ne mjenja ip onda je najlakše na lokalnom dns-u napraviti resolving na statičku IP ili ići kroz hosts. tako će mo forsirtai uvijek set odobrenih IP adresa

google stalno MJENJA ip adrese.

Ne razumijem zašto bi išao "sa konja na magaraca" ? Postojeće rješenje je takvo da si na firewall-u odobrio rang ip adresa kojima želimo pristupiti. Međutim ono ne funkcioniše jer google stalno mjenja IP adrese.

Kako god postojeće rješenje daje isti efekat kao da ručno podesiš host fajlove na klijentima. S tim što je puno bolje. HOSTS ispravka - to je najgore rješenje.

Ernad Husremović je napisao/la:

Jasmin Beganović je napisao/la:

ako google ne mjenja ip onda je najlakše na lokalnom dns-u napraviti resolving na statičku IP ili ići kroz hosts. tako će mo forsirtai uvijek set odobrenih IP adresa

google stalno MJENJA ip adrese.

mislio sam na drugu stvar, dali će ako ja setujem na DNS-u statiču IP za code.google.com taj sadržaj uvijek biti na toj IP.

HOST sam spomijao kao jednu od mogućnosti ne moj odabir

evo kako možemo dobiti trenutno stanje

nslookup -q=TXT _netblocks.google.com 8.8.8.8

_netblocks.google.com    text = "v=spf1 
ip4:216.239.32.0/19 
ip4:64.233.160.0/19 
ip4:66.249.80.0/20 
ip4:72.14.192.0/18 
ip4:209.85.128.0/17 
ip4:66.102.0.0/20 
ip4:74.125.0.0/16 
ip4:64.18.0.0/20 
ip4:207.126.144.0/20 
ip4:173.194.0.0/16

ti ne razumiješ ono što govorim bjasko uporno uporno ideš na IP adrese. TO NE MOŽE !

naš named conf standardni funkcioniše ovako

pseudo kod conf-a

{

zone bring.out => definicija hostova

zone klijent.ba => definicija hostova

svi ostali hostovi => forwarding na public dns

}

na dns-u po gornjem zadatku napraviti promjenu

{

zone bring.out => definicija hostova

zone klijent.ba => definicija hostova

zone code.google.com => forwarding na public dns-ove

svi ostali hostovi =>  zabrani forwarding

}

ovo je rješenje

pa to sam gore i rekao "na lokalnom dns-u napraviti resolving na statičku IP"

Jasmin Beganović je napisao/la:

pa to sam gore i rekao "na lokalnom dns-u napraviti resolving na statičku IP"

ne. naveo sam rješenje u posljednjem komentaru. Moje rješenje i za npr. bring.out.ba domenu upućuje na internet dns resolver

{

bring.out.ba => forward na internet, public dns

code.google.com => forwarding na public dns-ove

sve ostalo => ne resloviraj

}

ti ne razumiješ ono što govorim bjasko uporno uporno ideš na IP adrese. TO NE MOŽE !

iz jednostavnog razloga što će taj pool obuhvatiti i youtube i bilo koji google servis što klijent ne želi otvoriti.

dobro tako ću pokušati.
samo da napomenem, neki računari trebaju da imaju pristup kompletnom netu

1. serveri
2. korisnik_1, korisnik_2, korisnik_3

njima moram u ovom scenariju

sve ostalo => resloviraj

na firewall-u moram otvoriti outgoing promet onda totaln, trojanci i virusi s ene oslanjaju na lokalne dns-ove itd

bjasko na javnom ticketu izbjegavaj imena. Ovo što si želio reći može se sročiti na sljedeći način, uz to je puno preglednije za komunikaciju:

imamo dvije grupe korisnika:

grupa_1 - full_access

grupa_2 - parcijalni pristup

neznam dali se to jednim može rješiti, moje poznavanje bind-a je površno.

ne zna niko dok ne pročita, ako nema ranije iskustvo.

Pročitaj pa ćeš vidjeti.

mogućnosti ima bezbroj. evo jedne što sigurno radi bind ne može različito resolvirati zahtjeve klijenata po ip adresi (u šta čisto sumnjam)

na dhcp serveru staviš

{

ip_adrese iz grupe full_access usmjeri na dns_full_access

ip_adrese iz grupe partial_access usmjeri na dns_partial_access

}

znači dhcp razdvaja korisnike i usmjerava na dva različita dns servera. dalje je kako sam gore rekao.

još jedno rješenje:

za korisnike kojih je manje (full_access u ovom slučaju) direktno na klijentu usmjeri na dns_full_access

kako rekoh mogućnosti je bezbroj.

na firewall-u moram otvoriti outgoing promet onda totaln, trojanci i virusi s ene oslanjaju na lokalne dns-ove itd

ne kontam. na firewallu ne moraš ništa mjenjati u odnosu na postojeće stanje.

osim što ćeš izbaciti dio vezan za statičke ip adrese koji ne funkcioniše

dobro tako ću pokušati.

korisnika ćemo poštediti naših pokušaja. imaš vagrant servisersko okruženje na njem sve to testirati, dati meni na odobrenje i onda kod klijenta instalirati.

Ernad Husremović je napisao/la:

na firewall-u moram otvoriti outgoing promet onda totaln, trojanci i virusi s ene oslanjaju na lokalne dns-ove itd

ne kontam. na firewallu ne moraš ništa mjenjati u odnosu na postojeće stanje.

moram blokirane su IP klijenata koji nemaju izlaz na net totalno jer je to bio njihov zahtjev

Jasmin Beganović je napisao/la:

Ernad Husremović je napisao/la:

na firewall-u moram otvoriti outgoing promet onda totaln, trojanci i virusi s ene oslanjaju na lokalne dns-ove itd

ne kontam. na firewallu ne moraš ništa mjenjati u odnosu na postojeće stanje.

moram blokirane su IP klijenata koji nemaju izlaz na net totalno jer je to bio njihov zahtjev

tu možeš otvoriti kompletan google range tako da će to riješiti problem ... ostatak priče ostaje identičan.

znači na firewallu odobriš ovim parcijalnim klijentima se google a adrese an a firewallu tuniraš - odobriš samo code.google.com

međutim ... čitava ova priča vodi nas na zaključak da je najbolje rješenje čestit proxy/cache firewall - opcija 2) koju sam gore naveo

opcija 3) o kojoj smo diskutovali postala je pravo komplikovana ... iako se mnogo toga od onoga što sam napisao može iskoristiti u konačnom rješenju.

Ernad Husremović je napisao/la:

međutim ... čitava ova priča vodi nas na zaključak da je najbolje rješenje čestit proxy/cache firewall - opcija 2) koju sam gore naveo

opcija 3) o kojoj smo diskutovali postala je pravo komplikovana ... iako se mnogo toga od onoga što sam napisao može iskoristiti u konačnom rješenju.

code.google.com po request na "pocetnoj" otvara samo code.google.com domain i G+ elemente (koji nisu posebno znacajni).

Treba provjeriti situaciju na standardnom browse-u sta se i odakle poziva.

Takodje onemoguciti 53:UDP za lokalne adrese, osim lokalnog dns servera, na kome se moze podesiti koja grupa adresa ima pravo za upite i koje segmente target hostova

Takodje za open wrt postoji ovo: http://wiki.openwrt.org/doku.php?id=oldwiki:proxy.tinyproxy

tinyprox

svojevremeno sam ga koristio ali je znao zamrznuti router. zato sam, sjećam se, proksiranje prebacio na "pravi" računar

Ernad Husremović je napisao/la:

tinyprox

svojevremeno sam ga koristio ali je znao zamrznuti router. zato sam, sjećam se, proksiranje prebacio na "pravi" računar

Zato postoji update i testiranje :)

quick fix #27484