Столкнулся с проблемой при использовании DFL-210 и фильтрации трафика с участием ALG.
Есть группа станций с которых необходимо закрыть доступ в соцсети и на онлайн почтовые сайты типа mail.ru и т.д.
Логично было бы сделать, что-то типа
deny all from grp1 to soc
deny all from grp2 to mail
allow all from grp1,grp2 to any
Но так как блокировку ALG можно привязать только к allow правилам, то получается что-то типа
allow all from grp1 to any with block soc
allow all from grp2 to any with block mail
allow all from grp1,grp2 to any
Далее - так как в grp1 и grp2 хосты могут пересекаться и учитывая то, что срабатывает первое правило, то получается, что для хостов
из grp1, которые входят в grp2 не выполняется второе правило.
Приходится вводить допонительный ALG и все приобретает примерно такой вид
allow all from grp1 to any with block soc
allow all from grp2 to any with block mail
allow all from grp3 to any with block mail and soc
allow all from grp1,grp2,grp3 to any
Жутко неудобно в плане администрирования - нужно отслеживать принадлежность хостов к grp1,grp2,grp3 и чтобы они не пересекались, и вести 3 списка ALG вместо двух. А если потребуется вводить другие категории блокировки, то вообще швах будет.
Есть другие варианты решения?
PS: надеюсь псевдо ipfw правила будут понятны, просто так короче
Вход
Регистрация
FAQ
Поиск
