Настроить SQUID для Главного Одмина

Всем доброго времени! Мне необходимо настроить SQUID(условно буду говорить: "Сквида", так проще=) ). Настроить так, чтобы локалка имела доступ в инет, а из wan не был доступен dns, dhcp. Еще нужно, чтобы работал протокол https(и заблокировать альтенативный http), так же порезать доступ в соц сети: вк, ОК, твит и прочее. В нете нашел только половину из того, что необходимо сделать, а как сделать недоступным из мира dns, dhcp - так и не могу разобраться. Я пока начинающий админ unix, прошу излагаться по понятнее, если не затруднит. Спасибо большое заранее!
P.S. альтернативные пути решения проблем не предлагать, сквиду мне поручил поставить главный админ.

0

Ну так поствьте сквид, для удовольствия начальника.
В случае проблем, сообщите начальнику, что злоумышленники
используют сервисы, вам не обозначенные. Сошлитесь на то,
что вы не можете управлять ДНС. Пускай СОРМ предъявляет,
что нужно запретить.

Добавлено через 9 минут
Я вам сделаю намек: некая организация хочет,
чтоб вы или уволились, или запретили инетрет.

Добавлено через 3 минуты
В пределах организации.

0

"Просто поставить" не прокатит. Я на испытательном сроке, и в моих интересах зарекомендовать себя, как толкового человека. Поэтому нужно поставить сквиду именно по тем параметрам, которые описаны выше. Не думаю, что кто-то заинтересован в моем увольнении, ибо причин уволить любого штатоного сотрудника(того же главного админа) хоть отбавляй.
А теперь о деле: я рассматриваю вариант привлечения acl в данной проблеме. Разрешить ими выход нашего трафика в мир, и запретить миру доступ к нашему vpn, тем самым оградить dns и dhcp от внешки. Как вариант. Если можете помочь, буду рад выслушать вашу версию.

0

Сообщение от _MOHAX_ я рассматриваю вариант привлечения acl в данной проблеме

Если речь об acl сквида, то ими можно рещить только первыу задачу:

Сообщение от _MOHAX_ Разрешить ими выход нашего трафика в мир

Отстальные:

Сообщение от _MOHAX_ оградить dns и dhcp от внешки.

решаются настройкой фаревола.
Я бы вам посоветовал пригласить админа, чтобы помог вам решить пробные задачи. Благо, они достаточно простые. После это упорно заняться изучением. Ваши посты показывают полное незнание как настройки Линуксовых программ, так и основ tcp сетей.

0

Сообщение от _MOHAX_ как сделать недоступным из мира dns, dhcp

файерволом сбросить все запросы извне на портах, используемых необходимыми службами

0

Сообщение от gng Если речь об acl сквида, то ими можно рещить только первыу задачу

Сообщение от gng Отстальные:

Сообщение от gng решаются настройкой фаревола

Фаерволом можно сразу захватить обе задачи?

Сообщение от gng Я бы вам посоветовал пригласить админа, чтобы помог вам решить пробные задачи.

И как я сам не додумался... Вы знаете, пробовал. Но он решает более существенные задачи на сети, нежели ту, что он мне дал. Времени на решение моей задачи пока не ограничивал, мол, разбирайся, учись. Но с условием чтоб решить все проблемы ИМЕННО СКВИДОЙ и ни чем иным.

Сообщение от gng Ваши посты показывают полное незнание как настройки Линуксовых программ, так и основ tcp сетей.

Хм, странно, сколько не искал, но так и не смог найти в своем вопросе дополнительную просьбу оценить мои знания в unix и tcp. Может ткнете меня, неуча, носом туда? а то наверно что-то пропустил. Сети знаю средне. Прокладывал и конфигурил сети + безопасность (с BGP маршрутизацией) на Cisco, D-Link еще при работе в МТСе, и сейчас этим занимаюсь, только в другой конторе. Но с unix все куда печальней. Их почти совсем не знаю, разбираться приходится. Вопрос иной стоял, который заключается весь в сквиде, а не в ваших догадках, которые, уместнее всего, оставить при себе!(Уж извиняюсь за грубость)

0

Сообщение от _MOHAX_ не смог найти в своем вопросе дополнительную просьбу оценить мои знания в unix и tcp.

Извиняюсь, я просто хотел обосновать то, что вам стоит обратиться к кому-либо из знакомых админов лично, не обязательно к вашему админу.
Ваш вопрос мне показался действительно вопросом полного делетанта, потому, что вы предлагаете странные вещи.
1)Каким образом Скуид, который является http прокси, может закрывать доступ из вне? Если к вашему веб-серверу доступ извне идет через прокси, то распишите подробнее эту необычную схему.
2) Какое вообще отношение имеет http прокси к днс и dhcp и как он может закрыть к ним доступ.
Мне представляется, сначала стоило узнать, что такое Скуид и какие задачи он решает.

0

Сообщение от gng 1)Каким образом Скуид, который является http прокси, может закрывать доступ из вне? Если к вашему веб-серверу доступ извне идет через прокси, то распишите подробнее эту необычную схему. 2) Какое вообще отношение имеет http прокси к днс и dhcp и как он может закрыть к ним доступ. Мне представляется, сначала стоило узнать, что такое Скуид и какие задачи он решает.

Я не имею ни малейшего представления, как ответить вам на эти вопросы, которые меня самого мучают уже вторую неделю. Со слов гл.админа все это необходимо сделать именно на сквиде, и ни на чем ином. Опять же, вероятно, задам глупый вопрос, за что извиняюсь заранее: сквида может от части исполнять роль фаервола? Просто мне самому с трудом представляется возможным решение данной мне задачи на одной сквиде, без помощи сторонних ПО и конфигурация в системе центоса(кроме простой маршрутизации).

Описываю проблему:
1)Необходимо настроить сквиду на прозрачный режим
2)Обеспечить маршрутизацию через прокси(сквида) из мира во внутрь и обратно
3)Заблокировать доступность миру наши DHCP, DNS.
4)Настроить на работу https, при этом заблокировав http.

0

Давайте попробуем разобраться.

Сообщение от _MOHAX_ 1)Необходимо настроить сквиду на прозрачный режим

Задача решаемая.
1. В конфиге сквида прописывается прозрачный режим (intercept, ранее он назывался transparent)
2. Фареволом на роутере (лучше, если Сквид будет стоять непосредственно на нем) заворачиваем на порт Сквида трафик, идущий из локалки на внешний 80 порт (и/или 443).

Сообщение от _MOHAX_ 2)Обеспечить маршрутизацию через прокси(сквида) из мира во внутрь и обратно

Обратно описано в пункте 1.
Из мира - опять же на фареволе роутера, заворачивать пакеты, пришедшие на 80 порт - на Сквид. К корпоративному веб-серверу обращение будет через него.
Есди сквид стоит на роутере, просто слушать 80 порт. Тогда фаревол не нужен.

Сообщение от _MOHAX_ 3)Заблокировать доступность миру наши DHCP, DNS.

Либо фареволом на роутере, либо настройкой самих dhcp и dns серверов.
Замечу, что шировещательные dhcp запросы из мира и так не пройдут.
Для того чтобы проходили dns запросы, требуется настройка на роутере.
Так что, скоре всего задача 3 уже решена.

Сообщение от _MOHAX_ 4)Настроить на работу https, при этом заблокировав http.

Здесь явно требуется корректировка ТЗ. Последние версии сквида можно настроить на проксирование hhps в прозрачном режиме. По отзывам, при этом бывают проблемы открытия некоторых сайтов.
Попросите уточнить ТЗ. Хочу, чтобы везде было https и нигде не было http - это фраза ни о чем.

Вы можете решить задачу 1 и просить уточнить остальные. Пусть выдадут ТЗ в письменной форме. Тогда будет понятно, вы запутались или вам говорят: Зделай то, не знаю что.

0

1)Необходимо настроить сквиду на прозрачный режим
1 - установить сквид.
2)Обеспечить маршрутизацию через сквид из мира во внутрь и обратно
а при чем тут сквид?
3)Заблокировать доступность миру наши DHCP, DNS.
а при чем тут сквид?
4)Настроить на работу https, при этом заблокировав http.

а при чем тут сквид?
- это возможно, на уровне невозможного.
-Серегу, когда хоронили, видал каким бодрячком выглядел?
-Ну так, три дня не пил...

Добавлено через 7 минут
Ну, типа, если у меня есть возможность прокинуть запрос через
ваш сквид к своему, почему я не омогу этим пользоваться?

Добавлено через 32 минуты
"Маршрутизация" - возможно, ваш началник подразумевает
нечто, отличающееся от маршрутизации?

0