Софт для перенаправления трафика на определённый порт

Автомототроллер · 12-03-11 12:45:21

Уважаемые Windows-гуру!

Прошу вашего совета по проблеме перенаправления http-трафика на определённый порт (скажем, 8080). Что мы имеем. На домашнем "типа-сервере" стоúт Линух, который через свитч раздаёт интернет на три компьютера — соответственно, мой ноутбук, компьютер жены и компьютер сына. На типа-сервере поднят Squid и Dansguardian для блокировки "нехорошего" контента и ограничения раздачи интернета по времени (на компьютер сына). Задача: на компьютере сына установлены две системы — ArchLinux и Windows-7 Home Basic. В Arch'е перенаправление пакетов делается очень легко на уровне iptables. Как точно такое же сделать на Windows-7? Дело в том, что для фильтрации трафика средствами Dansguardian приходится подключаться к серверу по определённому порту (пусть будет порт 8080). Соответственно, в Windows-7 приходится настраивать браузеры на прокси (пусть будет: 192.168.0.1:8080). Но ребёнок продвинутый, не сегодня-завтра научится снимать галочку с прокси и свободно шляться по интернету в отсутствие родителей. Другой вариант — перенаправление трафика на уровне iptables на сервере — не подходит, поскольку тогда трафик и моего компьютера, и компьютера жены, тоже будет проходить через фильтр Dansguardian (в сетях я не силён, поэтому поправьте, если ошибаюсь), а я пока что от порнухи отказываться не намерен smile (конечно, можно замутить скрипт, который будет изменять правила iptables, когда я дома, потом возвращать их к прежнему варианту, когда меня нет, но как-то это решение кривовато). Поэтому реализовывать перенаправление нужно на компьютере сына, причём, не аппаратными, а программными средствами (ибо тратиться на покупку дополнительного оборудования не хочется). В Arch'е это делается элементарно — средствами iptables. Как такое же соорудить в Windows-7 Home Basic? Если есть какой-нибудь бесплатный софт для этого, буду благодарен за подсказку. Но ещё лучше, если это можно сделать штатным брандмауэром.

Заранее благодарю за содержательные ответы.

Lord_Evil · 12-03-11 13:21:33

Продвинутый родитель, убери нафиг на кампе дитяти "Основной Шлюз". Уберет галку, будет ваще без тырнета. И DHCP, если есть, подкрути, чтобы адрес не давал

Добавлено спустя 01 мин 25 с:
Выползи завтра в жабу, настроим все smile

vlad45im · 12-03-11 13:25:04

А что так моя тема про UniConvertor, не кому не нравится? Или тут здесь....

Автомототроллер · 12-03-11 13:32:03

Lord_Evil пишет:

Продвинутый родитель, убери нафиг на кампе дитяти "Основной Шлюз". Уберет галку, будет ваще без тырнета. И DHCP, если есть, подкрути, чтобы адрес не давал

Да отрубить-то интернет проще простого (я мог бы его тупо на уровне Squid'а вырубить по IP, да и всё; ну, или провод выдернуть smile ; тогда не было бы необходимости в фильтре). Нужно не просто вырубить интернет в определённое время; нужно, чтобы в то время, когда интернет подключен, трафик шёл через фильтр. А вот на это у меня ума и не хватило smile
DHCP нет (специально не стал поднимать, чтобы не морочить себе голову с меняющимися IP и DNC). Подключение с фиксированными IP. По DHCP подключается сервер. Затем трафик с одной сетевухи перенаправляется на другую, к которой подключен свитч. Ну, и далее схема такая, как я описáл выше.

Добавлено спустя 01 мин 39 с:
Спросил ещё на thevista, там народ, вроде бы, неглупый собрался. Хотя и зацикленный слегка на Винде.

Добавлено спустя 16 мин 21 с:
Вырубил "Основной шлюз", интернет вообще пропал. Да этот способ, к тому же, не подходит ещё и по той причине, что я Винду иногда по VNC юзаю. Тогда я лишусь не только автоматических обновлений, но и VNC. А бегать и каждый раз настраивать — как-то это криво. Гораздо проще было бы перенаправлять http-трафик на определённый порт. Хотя, может быть, я и ошибаюсь.

Добавлено спустя 22 мин 37 с:
Народ на thevista подсказал Traffic Inspector. Качаю, посмотрю, оно или не оно.

Отредактировано Автомототроллер (12-03-11 13:48:43)

Linups_Troolvalds · 12-03-11 14:32:41

А что мешает попросить iptables на "типа-сервере" перенаправлять трафик с определенного IP, идущий в инет на порты 80, 443, 8080 и т.д., на локальный порт 8080?

Автомототроллер · 12-03-11 14:36:49

Linups_Troolvalds пишет:

А что мешает попросить iptables на "типа-сервере" перенаправлять трафик с определенного IP, идущий в инет на порты 80, 443, 8080 и т.д., на локальный порт 8080?

Хм... Это был бы вариант. Честно говоря, это не пришло в голову. Спасибо! Попробую.

Добавлено спустя 25 мин 29 с:
Linups_Troolvalds, подскажи, как-то так надо:

iptables -t nat -A PREROUTING -i eth1 -s 192.168.0.10 -p tcp -m multiport --dport 80,443,8080 -j DNAT --to 127.0.0.1:3128

Такое правило подойдёт?

Отредактировано Автомототроллер (12-03-11 15:25:21)

nixadmin · 12-03-11 15:41:09

Автомототроллер пишет:

Linups_Troolvalds, подскажи, как-то так надо:

Я бы сделал по другому

iptables -t nat -A PREROUTING -i eth1 -s 192.168.0.10 -p tcp -m multiport --dport 80,443,8080 -j REDIRECT --to-port 3128

Только заметьте, что прокси на 8080, должен уметь работать в режиме прозрачного прокси (Сквид умеет), а HTTPS через прозрачный прокси работать не станет.

Отредактировано nixadmin (12-03-11 15:47:24)

Гареев Станислав · 12-03-11 15:45:09

Вот ссыль, избирательная настройка dhcp.
forum.altlinux.org/index.php/topic,9736.0.html
В общем делаешь прозрачный прокси (ищи ман сам) , и тогда любые http запросы пойдут через него.
В кроне пишешь скрипт который в указанное время будет изменять настройки iptables (закрывать и открывать доступ сыночку).

nixadmin · 12-03-11 15:51:26

Гареев Станислав, вопрос дуступа в инет по времени и ограничения сайтов лучще решить сквидом и не мучать крон. Это гарантирует то, что решение будет работать не зависимо от того, сработал ли крон в заданное время или нет (например машина была выключена).

Можно кнешно заменить cron на anacron, но решение средствами сквида мне кажеться лучще

Автомототроллер · 12-03-11 15:55:19

nixadmin, большое спасибо!

nixadmin пишет:

HTTPS через прозрачный прокси работать не станет.

Да это, наверное, и не надо: не думаю, что порнуху будут на https размещать.

Гареев Станислав пишет:

тогда любые http запросы пойдут через него..

Да любые запросы, как раз, несложно организовать. Нужна была, как раз, избирательность — по IP, по контенту и т.д.

Гареев Станислав пишет:

В кроне пишешь скрипт который в указанное время будет изменять настройки iptables (закрывать и открывать доступ сыночку).

Ммммм... А нафига? У меня в Squid'е это настроено.

nixadmin пишет:

Гареев Станислав, вопрос дуступа в инет по времени и ограничения сайтов лучще решить сквидом и не мучать крон. Это гарантирует то, что решение будет работать не зависимо от того, сработал ли крон в заданное время или нет (например машина была выключена).
Можно кнешно заменить cron на anacron, но решение средствами сквида мне кажеться лучще

Именно так!

nixadmin · 12-03-11 16:07:02

Вот, если кому поможет squid.conf который в дневное время режет хосты и URL'ы перечисленные в файлах domains.blk и urls.blk

acl LocalNet src 192.168.0.0/24 #Локалка
acl AHost src 192.168.0.28 192.168.0.18 192.168.0.99 #Хосты которым разрешён доступ всегда
acl all src all

acl host_block dstdomain "/etc/squid/domains.blk" #Список запрешённых доменов
acl urls_block url_regex "/etc/squid/urls.blk" #Список запрешённых URL (регулярные выражения)
acl day_time time MTWHF 09:00-18:00 #Рабочее время: ПН-ПТ 09-18

http_port 192.168.0.1:3128 transparent #Адрес и порт на котором SQUID принимает соединения. Может работать прозрачно

http_access deny LocalNet day_time !AHost host_block #Запрет доменов в рабочее время всем, кроме хостов перечисленных в ACL AHost
http_access deny LocalNet day_time !AHost urls_block #Запрет URL'ов в рабочее время всем, кроме хостов перечисленных в ACL AHost

http_access allow LocalNet #Разрешаем использовать прокси из локалки
http_access deny all #Всем остальным - запрещаем

#Логи
logformat squid %ts.%03tu %6tr %>a %Ss/%03Hs %<st %rm %ru %un %Sh/%<A %mt
access_log /var/log/squid/access.log squid

Ещё стоит поставить анализатор логов Squid (LightSquid например) что бы смотреть куда ребёнок ходил (а то не ровен он вскоре научиться обходить прокси smile )

Автомототроллер · 12-03-11 16:17:01

nixadmin пишет:

Вот, если кому поможет squid.conf который в дневное время режет хосты и URL'ы перечисленные в файлах domains.blk и urls.blk

Настроить squid, в общем-то, не сложно. В инете полно манов и даже специальных сайтов, посвящённых настройке squid. Не знаю, как у кого, но у меня его настройка вообще не вызвала затруднений (в отличие от iptables, в которых я до сих пор чайнЕГ smile ).

nixadmin пишет:

Ещё стоит поставить анализатор логов Squid (LightSquid например) что бы смотреть куда ребёнок ходил (а то не ровен он вскоре научиться обходить прокси

Тоже стоúт.
В том-то и проблема, чтобы перекрыть эти возможности обхода.

nixadmin · 12-03-11 16:31:54

Автомототроллер пишет:

В том-то и проблема, чтобы перекрыть эти возможности обхода.

iptables -A FORWARD -s 192.168.0.10 -j REJECT

Потом надо запретить смену IP на винде сына. И тогда у него останется только одна дорога в Интернеты - прокси.
Пути обхода и в этом случае есть, но для дома что-то большее городить, ИМХО, избыточно.

Offtopic.
Мне кажется что запрет порнухи, вопрос скорее педагогический, нежели технический. Ничего не помешает Вашему сыну посмотреть порно у друзей или в Интернет-кафе или даже принести видео-файл на флэшке.
Лично я потерял интерес к порно в 12-13 лет, как раз тогда, когда в нашем городе появилось Интернет-кафе с выделенкой, а до этого были VHS-касеты smile

Майор Очевидность · 12-03-11 16:32:03

[offtop]

Автомототроллер пишет:

Тоже стоúт.

ИМХО, будет лучше смотреться, если перенастроить ударение в Compose на U+0301.
результат будет выглядеть так: «стои́т».
[/offtop]

Автомототроллер · 12-03-11 16:44:19

nixadmin пишет:

Потом надо запретить смену IP на винде сына. И тогда у него останется только одна дорога в Интернеты - прокси.
Пути обхода и в этом случае есть, но для дома что-то большее городить, ИМХО, избыточно.

Большое спасибо за помощь! А вот с Виндой, как раз, я и не знаю, как сделать запрет смены IP. Впрочем, если он сменит IP, то просто не сможет подключиться к серверу (интернет-то с сервера раздаётся, а там разрешены только три IP-адреса — мой, жены и сына). Так что, думаю, здесь у него ничего не выйдет.

nixadmin пишет:

Мне кажется что запрет порнухи, вопрос скорее педагогический, нежели технический. Ничего не помешает Вашему сыну посмотреть порно у друзей или в Интернет-кафе или даже принести видео-файл на флэшке.
Лично я потерял интерес к порно в 12-13 лет, как раз тогда, когда в нашем городе появилось Интернет-кафе с выделенкой, а до этого были VHS-касеты

Да его, собственно, порнуха не интересует. И я понимаю, что полностью перекрыть доступ мне не удастся. Главное, чтобы он случайно не попал на сайт по какой-то левой ссылке. А сам городить прокси ради поиска порнухи он не станет.

Майор Очевидность пишет:

ИМХО, будет лучше смотреться, если перенастроить ударение в Compose на U+0301.
результат будет выглядеть так: «стои́т».

Не, я так пробовал. Тогда ударение оказывается вообще над согласными. Да и проблема только с "ú". С другими гласными проблем нет: "ó", "á", "é" и т.д.

nixadmin · 12-03-11 17:03:26

Автомототроллер пишет:

А вот с Виндой, как раз, я и не знаю, как сделать запрет смены IP.

Если мне склероз не изменяет, юзеры с правами "Пользователь" не могут менять IP в винде XP. Про Win7 не знаю, но скорее всего там так-же.

Автомототроллер · 12-03-11 17:23:10

nixadmin пишет:

Если мне склероз не изменяет, юзеры с правами "Пользователь" не могут менять IP в винде XP. Про Win7 не знаю, но скорее всего там так-же.

Да, туплю малость. Аккаунт у него, конечно же, ограниченный. Сейчас проверил — для редактирования сетевых настроек требует пароль администратора. Так что с этой стороны проблем ждать не приходится.

kol4dan · 12-03-11 18:54:42

Автомототроллер пишет:

Так что с этой стороны проблем ждать не приходится.

А если он и эту проблему решит, то имхо уже нет смысла ограничивать его. smile

Автомототроллер · 12-03-11 19:12:20

kol4dan пишет:

А если он и эту проблему решит, то имхо уже нет смысла ограничивать его.

Тоже верно lol
А вообще, блин, малолетний хацкер растёт. Рано или поздно он и сервак мой взломает. Тогда уже он мне инет запрещать будет с сервера, а не я ему lol

Добавлено спустя 18 мин 55 с:
ШЫкарно! И VNC работает, и трафик фильтруется только для одного компьютера, и Squid по времени отрубает интернет.
Linups_Troolvalds и, особенно, nixadmin, ещё раз большое спасибо!

IvanOFF · 15-03-11 02:56:02

Автомототроллер пишет:

Но ребёнок продвинутый, не сегодня-завтра научится снимать галочку с прокси и свободно шляться по интернету в отсутствие родителей. Другой вариант — перенаправление трафика на уровне iptables на сервере — не подходит, поскольку тогда трафик и моего компьютера, и компьютера жены, тоже будет проходить через фильтр Dansguardian

Прозрачный прокси, т.е. все запросы направляются на DG+Squid, далее на уровне белых списков DG исключаете свой комп и жены из контент-фильтрации и всем счастье. Если есть вопросы приходите на ко мне на блог, там как раз подобные вопросы обсуждаются:

interface31.ru/cgi-bin/mt-search.cgi?bl … d&limit=20
interface31.ru/cgi-bin/mt-search.cgi?In … n&limit=20

petrun · 15-03-11 03:08:36

IvanOFF
А с https как быть?

IvanOFF · 15-03-11 03:12:16

petrun пишет:

А с https как быть?

А на х*я его фильтровать? Пусть прямиком через NAT чешет.

nixadmin · 15-03-11 04:37:51

petrun пишет:

А с https как быть?

HTTPS должен работать нормально, если прокси прописать в браузере. Он не работает с прозрачным прокси.

Автомототроллер · 15-03-11 08:18:30

IvanOFF пишет:

Если есть вопросы приходите на ко мне на блог, там как раз подобные вопросы обсуждаются:
interface31.ru/cgi-bin/mt-search … d&limit=20
interface31.ru/cgi-bin/mt-search … n&limit=20

Так это Ваш блог? Огромный Вам респект за него! Я давненько его (блог) знаю и много оттуда взял. Читал и указанные Вами статьи и даже использовал при настройке Squid. Хорошее Вы дело делаете.

kenzzzooo · 15-03-11 09:13:48

IvanOFF пишет:

Если есть вопросы приходите на ко мне на блог, там как раз подобные вопросы обсуждаются:

ого smile отличный блог smile хотя с этим:

Данный тип сканера непригоден к использованию с 1С:Предприятие 7.7 при подключении стандартным способом, однако его можно подключить используя коммерческие драйвера «АТОЛ: Драйверы торгового оборудования»

про сканер, подключаемый в разрыв клавиатуры, в корне не согласен smile драйвер там вообще не нужен, достаточно 1с++ smile

Форум StopLinux

Объявление

#1 12-03-11 12:45:21

Софт для перенаправления трафика на определённый порт

#2 12-03-11 13:21:33

Re: Софт для перенаправления трафика на определённый порт

#3 12-03-11 13:25:04

Re: Софт для перенаправления трафика на определённый порт

#4 12-03-11 13:32:03

Re: Софт для перенаправления трафика на определённый порт

#5 12-03-11 14:32:41

Re: Софт для перенаправления трафика на определённый порт

#6 12-03-11 14:36:49

Re: Софт для перенаправления трафика на определённый порт

#7 12-03-11 15:41:09

Re: Софт для перенаправления трафика на определённый порт

#8 12-03-11 15:45:09

Re: Софт для перенаправления трафика на определённый порт

#9 12-03-11 15:51:26

Re: Софт для перенаправления трафика на определённый порт

#10 12-03-11 15:55:19

Re: Софт для перенаправления трафика на определённый порт

#11 12-03-11 16:07:02

Re: Софт для перенаправления трафика на определённый порт

#12 12-03-11 16:17:01

Re: Софт для перенаправления трафика на определённый порт

#13 12-03-11 16:31:54

Re: Софт для перенаправления трафика на определённый порт

#14 12-03-11 16:32:03

Re: Софт для перенаправления трафика на определённый порт

#15 12-03-11 16:44:19

Re: Софт для перенаправления трафика на определённый порт

#16 12-03-11 17:03:26

Re: Софт для перенаправления трафика на определённый порт

#17 12-03-11 17:23:10

Re: Софт для перенаправления трафика на определённый порт

#18 12-03-11 18:54:42

Re: Софт для перенаправления трафика на определённый порт

#19 12-03-11 19:12:20

Re: Софт для перенаправления трафика на определённый порт

#20 15-03-11 02:56:02

Re: Софт для перенаправления трафика на определённый порт

#21 15-03-11 03:08:36

Re: Софт для перенаправления трафика на определённый порт

#22 15-03-11 03:12:16

Re: Софт для перенаправления трафика на определённый порт

#23 15-03-11 04:37:51

Re: Софт для перенаправления трафика на определённый порт

#24 15-03-11 08:18:30

Re: Софт для перенаправления трафика на определённый порт

#25 15-03-11 09:13:48

Re: Софт для перенаправления трафика на определённый порт

Подвал форума