proxy blocco totale?

[paolone919191]

Salve a tutti,

Ho una rete così distribuita:

router alice -- router wifi

vorrei mettere in mezzo un proxy che mi controllasse tutti i siti visitati da chiunque si connetta al router wifi, con un bel log e soprattutto vorrei impostare il blocco di siti quali facebook o altri, e se possibile vorrei avere un'interfaccia di configurazione web.

vorrei poi evitare che i più "smanettoni" bypassassero il tutto cambiando il proxy dalla conf del loro browser

insomma, la rete diverrebbe router alice -- proxy -- router wifi

nel log ho bisogno di indirizzo ip.

il proxy in questione sarebbe un sistema linux, probabilmente una ubuntu server o una debian.

avete qualche consiglio su cosa usare?

[dbexport]

Ciao,
Ubuntu Server va più che bene.
Installa squid + squidGuard e per il reporting SARG.

Ciao !

[paolone919191]

Quote:

Originariamente inviato da dbexport

Ciao,
Ubuntu Server va più che bene.
Installa squid + squidGuard e per il reporting SARG.

Ciao !

grazie mille per la risposta, ma ho un'altra domanda:

il router wifi lo devo configurare come bridge? te lo chiedo perchè dietro il router wifi ci stanno 4 pc i quali devono assolutamente esserre monitorati separatamente, in modo tale che nel log appaiano ad es.:

192.168.1.4: accesso a www.google.it
192.168.1.5: accesso a facebook.it

ecc...


a tal punto devo configurare sul server anche un servizio di DHCP?

[dbexport]

No.
Tutte le macchine della LAN avranno come gateway l'interfaccia LAN ( la eth0 ) del Firewall Linux ( Server Proxy ). Questo, avrà come gateway l'interfaccia eth1 linkata al Router.
Per conf. squid, puoi optare per un transparent Proxy ( natti tutto il traffico in ingresso verso la porta 80 su quella in ascolto per squid ) o imposti il Proxy dalle impostazioni di Internet Explorer ( bypassabile... ).
Il Router non deve essere raggiunginilr direttamente dlala LAN delle macchine ( nemmeno fisicamente oltre che a livello IP ).

Ciao juk

[paolone919191]

Quote:

Originariamente inviato da dbexport

No.
Tutte le macchine della LAN avranno come gateway l'interfaccia LAN ( la eth0 ) del Firewall Linux ( Server Proxy ). Questo, avrà come gateway l'interfaccia eth1 linkata al Router.
Per conf. squid, puoi optare per un transparent Proxy ( natti tutto il traffico in ingresso verso la porta 80 su quella in ascolto per squid ) o imposti il Proxy dalle impostazioni di Internet Explorer ( bypassabile... ).
Il Router non deve essere raggiunginilr direttamente dlala LAN delle macchine ( nemmeno fisicamente oltre che a livello IP ).

Ciao juk

Grazie!

Per nattare il traffico in modo che applicazioni come skype funzionino, o come filezilla, c'è qualche impedimento? si può fare un blocco proxy tramite MAC address invece di farlo tramite IP? è possibile poi ad esempio bloccare, su una rete esempio di 15 client, solo 1 di questi pc o fare una selezione separata dei siti in base al pc client usato (es. 1 può andare su facebook, 2 su youtube, 3 dappertutto meno che su facebook e youtube) tramite interfaccia web?

è possibile poi impostare un QoS in qualche modo da questo server?

un consiglio poi sull'hardware:

un athlon II X2 250 AM3 con 4 gb di RAM supporterà tutti questi servizi, no? il sistema deve fare da:

- proxy selettivo
- firewall
- centralino VoIP
- server VPN con accesso da lato WAN
- server backup dati ad utenze separate via Samba (conf. RAID 1 (mirroring))

[dbexport]

Quote:

Originariamente inviato da paolone919191

Grazie!

Prego...

Quote:

Originariamente inviato da paolone919191

Per nattare il traffico in modo che applicazioni come skype funzionino, o come filezilla, c'è qualche impedimento?

No. Basta che nelle ACL di squidGuard siano consentiti gli accessi ai domini in questione...

Quote:

Originariamente inviato da paolone919191

si può fare un blocco proxy tramite MAC address invece di farlo tramite IP?

Sì, tramite iptables puoi filtrare per MAC address.

Quote:

Originariamente inviato da paolone919191

è possibile poi ad esempio bloccare, su una rete esempio di 15 client, solo 1 di questi pc o fare una selezione separata dei siti in base al pc client usato (es. 1 può andare su facebook, 2 su youtube, 3 dappertutto meno che su facebook e youtube) tramite interfaccia web?

Non credo... che sappia io ( almeno non li ho mai cercati... ) non esistono interfacce grafiche per la gestione di squid e sqiudGuard. Comunque, utilizzando iptables e squidGuard puoi fare quel che desideri tranquillamente...

Quote:

Originariamente inviato da paolone919191

è possibile poi impostare un QoS in qualche modo da questo server?

uhm... con iptables credo si possa, ma lascerei il compito ad apposito switch... !!

Quote:

Originariamente inviato da paolone919191

un consiglio poi sull'hardware:

un athlon II X2 250 AM3 con 4 gb di RAM supporterà tutti questi servizi, no? il sistema deve fare da:

- proxy selettivo
- firewall
- centralino VoIP
- server VPN con accesso da lato WAN
- server backup dati ad utenze separate via Samba (conf. RAID 1 (mirroring))

Proxy, firewall, e Server VPN ( ad esempio uso OpenVPN ), tranquillamente sì su Ubuntu Server lameno... senza interfaccia grafica...

Poi... centralino VoIP ????? Ma dici con asterisk ???
Ti occorre l'interfaccia analogica/ISDN/flusso primario...
In questo caso non credo possa bastare l'hardware postato...

Ciao !!

[paolone919191]

Andiamo con ordine:

Quote:

Prego...

Non c'è di che!

Per tutte le task, che ne pensi di zentyal?

Ho provato oggi anche clearos... Ma dato che gli rpm non mi garbano...

Per asterisk: non c'è problema devo solo configurare 5 telefoni e 2 trunk, non è così difficile:

Il primo trunk è messagenet, il secondo un gateway linksys, ma ho giá avuto a che fare sin troppo con tutto ció; l'unica cosa che vorrei è la gestione del qos per avere una buona qualità di chiamata, dell'interfaccia php non me ne faccio nulla perchè ormai il sip.conf e l'extensions.conf sono il mio pane quotidiano

Certo quello che mi preoccupa è che il firewall scassi le balle al voip...

[dbexport]

Quote:

Originariamente inviato da paolone919191

Per tutte le task, che ne pensi di zentyal?

Ho provato oggi anche clearos... Ma dato che gli rpm non mi garbano...

Idem per RPM, non uso + distro basate su questi dai tempi in cui usavo Fedora ( parecchi anni fa... ); zentyal non la conosco, ma ho visto che sembra semplice da gestire tramite l'interfaccia web.
I Server che uso solitamente, sono gestiti solo da shell

Quote:

Originariamente inviato da paolone919191

Certo quello che mi preoccupa è che il firewall scassi le balle al voip...

Bhè perchè dovrebbe...
Basta che metti in ACCEPT le porte VoIP senza LOG e sei a posto

Ciao e buon lavoro !

[paolone919191]

Ho un problema

premesso che

eth1 --> rete esterna via DHCP

eth0 --> rete interna (192.168.2.XX)


ho configurato anche il server dhcp per controllare tutti gli accessi dal server (il router LAN è ormai un semplice switch); il problema è che all'interno della lan i pc / devices non hanno problemi a contattarsi tra di loro, ma non riesco a contattare l'esterno ne tramite nomi host ne tramite l'inserimento dell'indirizzo ip; questo capita sia se ad eth0 attacco un pc con dhcp abilitato che nel caso del router (ormai switch).


cosa mi consigliate?


la configurazione è la seguente













grazie per il vostro prezioso aiuto!

[Alfonso78]

[paolone919191]

Quote:

Originariamente inviato da Alfonso78

inquietante

[Alfonso78]

Nel senso di cosa c'entra la tua discussione con il proxy...