Все технические форумы на одном сайте Удобный поиск информации с популярных форумов в одном месте
Вопрос: firewall для freebsd

Доброе время суток!! Подскажите как реализовать?! есть шлюз для локальной сети смотрит в интернет как настроить firewall так чтоб некоторые компьютеры видели только определенные веб адреса. Например для обновления 2gis.
Ответ:

вообще или через какой-то конкретный ??
Вопрос: iptables: Applying firewall rules: Another app is currently holding the xtables lock

OEL6.4
После апгрейда на OEL6.8 (yum update) перестал запускаться сервис iptables
[root@ol-yum-repo init.d]# service iptables start
iptables: Applying firewall rules: Another app is currently holding the xtables lock. Perhaps you want to use the -w option?
[FAILED]
Точнее, именно восстановление старых правил
[root@ol-yum-repo init.d]# iptables-restore /etc/sysconfig/iptables
Another app is currently holding the xtables lock. Perhaps you want to use the -w option?
Причем, ввод вручную проходит нормально
[root@ol-yum-repo init.d]# cat /etc/init.d/iptables.start
#!/bin/bash

[ -f /etc/sysconfig/iptables-config ] && . /etc/sysconfig/iptables-config

while read r
do
echo $r | egrep '^-' >/dev/null
rc=$?
if [ $rc -eq 0 ]
then
iptables $r
fi
done < /etc/sysconfig/iptables
[root@ol-yum-repo init.d]# sh /etc/init.d/iptables.start
[root@ol-yum-repo init.d]# service iptables status
Table: filter
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 ACCEPT tcp -- 192.168.0.0/16 0.0.0.0/0 tcp dpt:80
2 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
3 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0
4 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
5 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
6 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT)
num target prot opt source destination
1 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
Текущие версии
[root@ol-yum-repo init.d]# cat /etc/*elease*
Oracle Linux Server release 6.8
NAME="Oracle Linux Server"
VERSION="6.8"
ID="ol"
VERSION_ID="6.8"
PRETTY_NAME="Oracle Linux Server 6.8"
ANSI_COLOR="0;31"
CPE_NAME="cpe:/o:oracle:linux:6:8:server"
HOME_URL="
BUG_REPORT_URL="

ORACLE_BUGZILLA_PRODUCT="Oracle Linux 6"
ORACLE_BUGZILLA_PRODUCT_VERSION=6.8
ORACLE_SUPPORT_PRODUCT="Oracle Linux"
ORACLE_SUPPORT_PRODUCT_VERSION=6.8
Red Hat Enterprise Linux Server release 6.8 (Santiago)
Oracle Linux Server release 6.8
cpe:/o:oracle:linux:6:8:server

[root@ol-yum-repo init.d]# yum info iptables
Loaded plugins: ulninfo
Installed Packages
Name : iptables
Arch : x86_64
Version : 1.4.7
Release : 16.0.3.el6
Size : 856 k
Repo : installed
From repo : ol6_latest
Summary : Tools for managing Linux kernel packet filtering capabilities
URL :
License : GPLv2
Description : The iptables utility controls the network packet filtering code in the
: Linux kernel. If you need to set up firewalls and/or IP masquerading,
: you should install this package.
Это как-то лечится?
Или хотя бы как-то объясняется?

PS. Никаких других пакетов, использующих iptables и могущих держать блокировку xtables (вроде firewall) нет. Ставился сервер 6.4 в конфигурации Minimal, а потом выполнен yum update
Ответ: Дык откатился, конечно
Вопрос: Доступ из VPN-сети в локалку; Доступ к внешнему ресурсу мимо прокси

Доброго времени суток, господа эксперты!
Нужен совет/консультация в решении одной небольшой задачки.
Собственно суть задачи:
Вопрос номер 1:
Есть 2 офиса объединенные прямым каналом, и есть несколько филиалов разбросанных по городу.
На шлюзе настроен vpn-сервер средствами mpd5. Адрес vpn-сети выдается клиентам такой же как и внутренняя
локалка офиса. PPTP соединения успешно происходят, но в локальную сеть доступа нет. Но если я добавлю в
правила фаервола строку
Код Code
1
$cmd 65499 allow all from any to any
то доступ в локалку появляется.
И вопрос номер 2:
Для всех пользователей офиса надо разрешить доступ по РДП на сервер терминалов и на сайт предприятия.
В правилах разрешено, и сайт открывается... но оооочень медленно. Пробовал эти правила прописывать и с
состоянием keep-state, и без него - ситуация не меняется...

Вот, непосредственно, сами правила:
Код Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
#!/bin/sh
# перечитать конфиг:  nohup sh /etc/ipfw.conf
 
cmd="/sbin/ipfw -q add"
 
# Определяем переменные local IP
wanip="xx.xx.xx.xx"         # внешний IP
lanip0="10.20.0.1"          # внутренний IP (office1)
lanip10="10.20.10.1"        # внутренний IP (office2)
 
# Определяем переменные local network
lannet0="10.20.0.0/24"      # внутренняя сеть (office1)
lannet10="10.20.10.0/24"    # внутренняя сеть (office2)
 
# Определяем переменные local interfaces
eif="re0"                   # внешний интерфейс
iif0="re1"                  # внутренний интерфейс (Lan office1)
iif10="re2"                 # внутренний интерфейс (Lan office2)
 
itc_ip="10.20.0.21-24"      # IP-адреса IT-отдела
mail="465,993,995"          # почтовые порты
 
# Очищаем список правил
$cmd -f flush
$cmd -f pipe flush
$cmd -f queue flush
 
$cmd 100 check-state
 
# Режем "вредный" траффик
$cmd 200 deny icmp  from any            to any     in icmptype 5,9,13,14,15,16,17
$cmd 210 deny tcp   from any            to any 113 in via $eif
$cmd 220 deny tcp   from any            to any 137 in via $eif
$cmd 230 deny tcp   from any            to any 138 in via $eif
$cmd 240 deny tcp   from any            to any 139 in via $eif
$cmd 250 deny tcp   from any            to any 81  in via $eif
$cmd 260 deny all   from 192.168.0.0/16 to any     in via $eif
$cmd 270 deny all   from 172.16.0.0/12  to any     in via $eif
$cmd 280 deny all   from 10.0.0.0/8     to any     in via $eif
$cmd 290 deny all   from 127.0.0.0/8    to any     in via $eif
$cmd 300 deny all   from 0.0.0.0/8      to any     in via $eif
$cmd 310 deny all   from 169.254.0.0/16 to any     in via $eif
$cmd 320 deny all   from 192.0.2.0/24   to any     in via $eif
$cmd 330 deny all   from 204.152.64.0/23    to any     in via $eif
$cmd 340 deny all   from 224.0.0.0/3    to any     in via $eif
 
# Нет ограничений на Loopback интерфейсе
$cmd 400 allow  all from any to any via lo0
$cmd 410 deny   ip  from any to 127.0.0.0/8
$cmd 420 deny   ip  from 127.0.0.0/8 to any
 
# Разрешаем входящие снаружи SSH соединения
$cmd 500 allow tcp from any to $wanip 22 in via $eif setup limit src-r 2
 
# Разрешаем pptp соединения и vpn траффик через mpd5
$cmd 600 allow tcp from any     to me 1723  in  via $eif
$cmd 610 allow tcp from me 1723 to any      out via $eif
$cmd 620 allow gre from any     to any      via $eif
 
# Снимаем ограничения на локальных интерфейсах
$cmd 700 allow all from me  to any out via $eif keep-state
$cmd 710 allow all from any to any     via $iif0
$cmd 720 allow all from any to any     via $iif10
 
# Разрешаем входящий пинг
$cmd 800 allow icmp from any to any out via $eif keep-state
$cmd 810 allow icmp from any to me icmptypes 0,8,11 limit src-r 2
 
# Разрешаем DNS
$cmd 900 allow udp from any to any 53 out via $eif setup keep-state
 
# Исходящий NTP
$cmd 1000 allow all from any to any 123 out via $eif setup keep-state
 
# Разрешаем полный доступ в интернет для IT-отдела
$cmd 1100 allow all from $itc_ip to any keep-state
 
# Разрешаем всем юзерам ходить на наш сайт
$cmd 1200 allow all from $lannet0       to domaine.com  out
$cmd 1210 allow all from domaine.com    to $lannet0  in
$cmd 1220 allow all from $lannet10      to domaine.com  out
$cmd 1230 allow all from domaine.com    to $lannet10 in
 
# Разрешаем доступ к терминалу и почте в обход squid
# (закомментировано пока не решится вопрос с предыдущими 4 правилами)
#$cmd 1240 allow all from $lannet0 to any 3389  out via $eif setup keep-state
#$cmd 1250 allow all from $lannet0 to any $mail out via $eif setup keep-state
 
# Отправляем всех на squid
$cmd 1300 fwd 127.0.0.1,3128 tcp from $lannet0  to any 80,443 out via $eif keep-state
$cmd 1310 fwd 127.0.0.1,3128 tcp from $lannet10 to any 80,443 out via $eif keep-state
 
# Исходящий NAT
$cmd 1400 divert natd ip from any to any out via $eif
 
# Входящий NAT
#$cmd 1500 divert natd ip from any to any in via $eif
 
# Разрешаем все для всех (на случай если что-то пойдет не так)
#$cmd 65499 allow all from any to any
 
# Режем все лишнее с занесением в лог
$cmd 65500 deny log all from any to any
Добавлено через 3 часа 34 минуты
итак вопрос номер 2 снимается с повестки дня, ибо добился того чтоб сайт нормально открывался, пусть и не совсем так как хотелось бы... но пока сойдет...
Вопрос номер 1 по поводу доступа из впн-сети в локалку - остается актуальным...

Добавлено через 8 часов 21 минуту
Итак.... у меня таки получилось добиться того чтобы vpn-клиент смог попасть в офисную локалку. Для этого пришлось изменить часть правил фаервола, еще одну часть переместить по списку... Но столкнулся теперь с другой задачей - после того как vpn-клиент подключается к серверу, у него выборочно блокируется трафик... то есть одни сетевые программы работают (например скайп, пинги и трасерт бегают), а другие - нет (the bat - не соединяется с сервером, тимвьюер не видит сети). Куда еще копать - незнаю...
Вот обновленный скрипт фаервола:
Код Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
cmd="/sbin/ipfw add"
 
# Определяем переменные local IP
wanip="xx.xx.xx.xx"            # внешний IP
lanip0="10.20.0.1"              # внутренний IP (office1)
lanip10="10.20.10.1"            # внутренний IP (office2)
 
# Определяем переменные local network
lannet0="10.20.0.0/24"          # внутренняя сеть (office1)
lannet10="10.20.10.0/24"        # внутренняя сеть (office2)
vpnnet="172.20.1.0/24"          # адрес сети vpn
 
# Определяем переменные local interfaces
eif="re0"                       # внешний интерфейс
iif0="re1"                      # внутренний интерфейс (Lan office1)
iif10="re2"                     # внутренний интерфейс (Lan office2)
 
skip="skipto 65499"
ks="keep-state"
 
itc_ip="10.20.0.21-24"
mail="143,465,587,993,995"
 
# Очищаем список правил
ipfw -f       flush
ipfw -f pipe  flush
ipfw -f queue flush
 
$cmd allow all from any          to any         via lo0
#$cmd allow all from me          to any out     via $eif $ks
$cmd allow all from $itc_ip      to any $ks
$cmd allow all from any          to any         via $iif0
$cmd allow all from any          to any         via $iif10
$cmd allow all from any          to any         via tun0
$cmd allow tcp from me           to any out     via $eif $ks uid squid
$cmd deny  ip  from any          to 127.0.0.0/8
$cmd deny  ip  from 127.0.0.0/8  to any
 
$cmd $skip all from $lannet0      to domain.com out via $eif
$cmd $skip all from domain.com to $lannet0      in  via $eif
$cmd $skip all from $lannet10     to domain.com out via $eif
$cmd $skip all from domain.com to $lannet10     in  via $eif
$cmd $skip all from $lannet0      to any 3389      out via $eif setup $ks
#$cmd $skip all from $lannet0      to any $mail     out via $eif setup $ks
 
$cmd divert natd ip from any to any in via $eif
 
$cmd $skip udp  from any to any 53  out via $eif setup $ks
$cmd $skip all  from any to any 123 out via $eif setup $ks
 
$cmd fwd 10.20.0.1,3128 tcp from $lannet0  to any 80,443 out via $eif
$cmd fwd 127.0.0.1,3128 tcp from $lannet10 to any 80,443 out via $eif
 
$cmd check-state
 
# Режем "вредный" траффик
$cmd deny icmp from any                 to any     in icmptype 5,9,13,14,15,16,17
$cmd deny tcp  from any                 to any 113 in via $eif
$cmd deny tcp  from any                 to any 137 in via $eif
$cmd deny tcp  from any                 to any 138 in via $eif
$cmd deny tcp  from any                 to any 139 in via $eif
$cmd deny tcp  from any                 to any 81  in via $eif
$cmd deny all  from 192.168.0.0/16      to any     in via $eif       # RFC 1918 private IP
$cmd deny all  from 172.16.0.0/12       to any     in via $eif       # RFC 1918 private IP
$cmd deny all  from 10.0.0.0/8          to any     in via $eif       # RFC 1918 private IP
$cmd deny all  from 127.0.0.0/8         to any     in via $eif       # loopback
$cmd deny all  from 0.0.0.0/8           to any     in via $eif       # loopback
$cmd deny all  from 169.254.0.0/16      to any     in via $eif       # DHCP auto-config
$cmd deny all  from 192.0.2.0/24        to any     in via $eif       # reserved for docs
$cmd deny all  from 204.152.64.0/23     to any     in via $eif       # Sun cluster
$cmd deny all  from 224.0.0.0/3         to any     in via $eif       # Class D & E multicast
 
$cmd allow tcp from any       to $wanip 22 in  via $eif setup limit src-addr 2
$cmd allow tcp from any       to me     1723  in  via $eif
$cmd allow tcp from me 1723   to any          out via $eif
$cmd allow gre from me        to any          out via $eif
$cmd allow gre from any       to me           in  via $eif
$cmd allow all from $vpnnet   to $lannet0
$cmd allow all from $lannet0  to $vpnnet
$cmd allow all from $vpnnet   to $lannet10
$cmd allow all from $lannet10 to $vpnnet
$cmd allow icmp from any to any     out via $eif $ks
$cmd deny  icmp from any to $wanip  in  via $eif
 
# Исходящий NAT
$cmd 65400 divert natd ip from any to any out via $eif
 
# Разрешаем все для всех
$cmd 65499 allow all from any to any
 
# Режем все лишнее с занесением в лог
$cmd 65500 deny log all from any to any
Ответ:
Цитата Сообщение от xDrew Посмотреть сообщение
На компах удаленных офисов в качестве DNS настроены адреса 192.168.8.1 и 8.8.8.8 соответственно.
Я правильно Вас понимаю, что до поднятия VPN выход в инет работает, как только поднимаете - перестаёт?
Цитата Сообщение от xDrew Посмотреть сообщение
Дело в том что пока я не передал клиентам DNS средствами mpd5 - ya.ru не резолвился...
А как тогда он резольвится пока VPN не поднят?
Ещё раз прошу Вас, сделайте на Винде nslookup ya.ru до поднятия VPN и после. Мне интересно, у каких серверов он спрашивает доменное имя в разном состоянии!
Ведь если при поднятом VPN-е Вы с удалённого офиса не можете зайти на http://google.com/, но при этом если попытаетесь зайти по http://188.43.64.152/, попадёте на гугл, однозначно надо разбираться с DNS-серверами.
Вопрос: Хочу поиметь дело с Линуксом

Я никогда не ставил себе ОС на основе Линукса, только на винде всю жизнь сижу. И вот я захотел попробовать поставить какуе то ОС на основе Линукса. Я в них вообще не разбираюсь но хочу начать разбираться, для этого хочу себе поставить Линукс. Как там обстоят дела с играми? И какая ОС на Линуксе самая лучшая?
Ответ:
Сообщение от ranebull
Это вы сами определите. А так стандратный выбор: Ubuntu (либо её составляющие) или Linux Mint
Ну почему же? Ещё для любителей плеваться в сторону разработчиков ALT Linux. Хотя, если снадратный - не очепятка, то фиг его знает.
Сообщение от ildwine
wine это штатный в линуксе эмулятор винды
Нифига это не эмулятор. В отличие от эмуляторов, там, например, реализован полноценный обмен данными между подоконниками и остальным софтом и не только через буфер. Но вообще wine - это даже не для любителей плеваться в сторону разработчиков, а для тех, кому без глюков спокойно не живётся, или же для тех, кому по зараз надо в состоянии аффекта разнести машину в дребезги.

Добавлено через 7 минут
Сообщение от Amet13
Скорее не эмулятор, а подобие winapi.
Это альтернативная винда от команды разработчиков, с трудом представляющих себе глюки оригинала, и при этом оболочечная. А так как часть глюков оригинала уже учтена разработчиками прилад, то на вайне они глючат от неожиданного отсутствия именно этих глюков.
Вопрос: Переход с Windows на Линукс

Задолбала винда со своими зависаниями.
Хочу сделать как делали некоторые знакомые.
Сам держал ноуты с установленной системой таким образом
Но не знаю как лучше для этого установить ubuntu...
Какую выбрать виртуалку для внедрения винды...
Сколько оперативы выдилить...
И для более быстрой работы, выделить раздел на жестском диске...

Поц core i7 2ядра 4канала.
Оператива 8 Гб.
Жестский 1 Тб.
Видюха радеоновская.

На винде запускает Фол4 на средних.
Но игры сильно не интересуют, максимум Фол3, и то редко...
Нужно чтобы можно было работать спокойно без тормозов с многими запущенными программами по типу:
MS VS 2013 (иногда две одновременно), Atmel Studio 7.0, Opera 34 (много вкладок), и некоторые мелочные, по типу блокнота, калькулятора и т.д...

Кто нибудь практиковал такое?
Сейчас нет возможности связаться с этими знакомыми...
Но очень нужно как можно скорее.

Добавлено через 9 минут
Я не имею в виду что винда в виртуалке постоянно запущена и работает в оболочке линукса.
Я имею в виду что когда нужна винда, включил, сделал что надо, и вернулся обратно в слабенький линукс.
Желательно для этого конечно еще чтобы с того раздела жестского диска на который установлена винда, можно было брать и ложить туда файлы в любой момент.

Добавлено через 2 минуты
Но только чтобы не вырубать линукс и включать винду через загрузчик, а именно в линуксе запускать чтобы можно было если что работать и там и там почти одновременно.
Ответ:
Сообщение от Velesthau
Винда вообще не увидит твой раздел, у нее в виртуалке ее диск.
утверждение некорректно для всех возможных случаев.
и вмварь, и виртуалбокс ПОЗВОЛЯЮТ использовать под диск виртуальной машины РЕАЛЬНЫЙ раздел жесткого диска...
Сообщение от Pin1999
Лучше скажите как можно разделить жестскийдиск при установке убунты.
В смысле чтобы определялся как отдельный.
при настройке диска выбрать ручную разметку (не помню точно, как они в инсталяторе это обозвали, ищите по смыслу аналогичное), и там - режьте свой диск как угодно...
Вопрос: Настроить сеть на Linux Mint 17.3 Rosa

Добрый день!
Установил себе Linux Mint 17.3 Rosa думал обновить систему и установить драйвера, прописал старый мак адрес на нетбуке прописал в винде и в линуксе все работает и тут на тебе не подключается.
Зашел посмотреть установлен ли драйвер, так смотрю что не одного драйвера не стоит.
Честно с установкой линукса столкнулся в первый раз, и не знаю как без драйвера сетевой карты подключиться к интернету, сетевая интегрированная, материнская плата ASRock K8Upgrade-NF3 (4 PCI, 1 AGP, 1 Future CPU Port, 2 DDR DIMM, Audio, LAN) На материнской плате написано Asrock AGP8x ata133 usb 2.0
Прошу прощения если повторил тему на форуме!!!
Ответ: Благодаря вашему ответу и ролику из ютуба я смог настроить сеть, спасибо большое, спасибо!!!!!!!
Ролик на всякий случай
Как в ролике прописано не высветило мою сетевую inconfig, а при помощи ввода ifconfig -a всё высветило
Ещё раз спасибо !!!!!
Пойду ка я в линукс обновлюсь ))))
Вопрос: Попробовать линукс для видео и С

Здравствуйте, ув форумчане. давно у меня возникли мысли об обретении навыков работы с операционной системой Linux в общем я в вопросе разбираюсь крайне слабо, опыт мой сводится к методу проб и ошибок еще во времена первого курса универа(я там писал программы на "С")... раньше меня полностью устраивала винда, но со временем мне приходят мысли что в ней все не так гладко, раньше меня на ней держали игры, а теперь только фотошоп. поэтому теперь хотел бы подойти к вопросу основательно и регулярно выделять немного времени на знакомство с операционкой и со временем пользоваться ей паралельно с виндой. и прошу подсказать мне хорошую стартовую литературу и статьи.

если для ответа на мою просьбу требуется что-то уточнить, то не стесняйтесь и спрашивайте - я попробую ответить

пробовал и не получилось вкрячить операционку на нетбук дохленькимм процем (atom) и 500мб оперативки вкрячить то вкячил и даже немного попрогал на c, но проблема в том что не смог даже добиться проигрывания видио(а XP проигрывать смогла), стало быть хотелось бы понять как подобрать дистрибутив, и какой софт использовать.

тепеперь у меня на роль эксперементального компа будет машина помощнее, но проблема та же, хотелось бы осознано подойти к втыкании операционки и всех дров для этой цели.
Ответ:
Сообщение от golosalex
теперь хотел бы подойти к вопросу основательно и регулярно выделять немного времени на знакомство с операционкой и со временем пользоваться ей паралельно с виндой
Тебе необходимо четко определиться для чего тебе Линукс. Чтобы серьезно начать осваивать Линукс, нужно на него перейти безвозвратно. Если он будет единственной системой, то обстоятельства заставят начать в нем разбираться. Если нет, то мотивации для изучения не будет, будет появляться соблазн пользоваться знакомой виндой. Это как бросать курить, либо бросаешь полностью и безвозвратно, либо будешь болтаться как известный предмет в проруби. Окунаться в незнакомое не так страшно как кажется. Чаще всего сделать шаг мешают страхи и лень, ведь придется выйти из зоны комфорта, а это страшно и тяжело, нужно что-то делать, то есть трудиться.

Чтобы попробовать Линукс и не испугаться сразу, нужно скачать Linux Mint 18.3 (19-ую версию не советую пока ставить), установить VirtualBox, и в виртуалбоксе поставить Линукс. Минимальное количество оперативки должно быть 4Гб, а лучше 8-16Гб. Иначе мучения.

Сообщение от golosalex
прошу подсказать мне хорошую стартовую литературу и статьи
Вот курс дает основное понимание и внутреннего устройства, и практического администрирования. На этом же канале есть продолжение, смотри в плейлистах.
Вопрос: Посоветуйте линукс

Посоветуйте линукс на хом машину:
CPU 550 Celeron
озу 256 MB
видео 16 MB
жесткий диск 10 GB
для интернета, видео и музыки.
заранее спасибо.
Ответ: А как же сказки что линух летает на любой машине?
Вопрос: Настроить SQUID для Главного Одмина

Всем доброго времени! Мне необходимо настроить SQUID(условно буду говорить: "Сквида", так проще=) ). Настроить так, чтобы локалка имела доступ в инет, а из wan не был доступен dns, dhcp. Еще нужно, чтобы работал протокол https(и заблокировать альтенативный http), так же порезать доступ в соц сети: вк, ОК, твит и прочее. В нете нашел только половину из того, что необходимо сделать, а как сделать недоступным из мира dns, dhcp - так и не могу разобраться. Я пока начинающий админ unix, прошу излагаться по понятнее, если не затруднит. Спасибо большое заранее!
P.S. альтернативные пути решения проблем не предлагать, сквиду мне поручил поставить главный админ.
Ответ: 1)Необходимо настроить сквиду на прозрачный режим
1 - установить сквид.
2)Обеспечить маршрутизацию через сквид из мира во внутрь и обратно
а при чем тут сквид?
3)Заблокировать доступность миру наши DHCP, DNS.
а при чем тут сквид?
4)Настроить на работу https, при этом заблокировав http.

а при чем тут сквид?
- это возможно, на уровне невозможного.
-Серегу, когда хоронили, видал каким бодрячком выглядел?
-Ну так, три дня не пил...

Добавлено через 7 минут
Ну, типа, если у меня есть возможность прокинуть запрос через
ваш сквид к своему, почему я не омогу этим пользоваться?

Добавлено через 32 минуты
"Маршрутизация" - возможно, ваш началник подразумевает
нечто, отличающееся от маршрутизации?
Вопрос: Установка Windows на виртуальную машину установленую в Linux mint если нет оптического привода

Есть вопрос. На ноутбуке не имеющем оптического привода стоит линукс минт, для учебы необходимо использовать программы работающие под windows xp 32 bit. Установил виртуальную машину на которую планировал установить вышеуказанную версию винды но возникла проблема: в носителях информации с которых можно поставить систему имеет место только оптический диск и какой-то vdi как я понимаю виртуальный диск на который собственно и будет ставится система. Прошу поделитесь ОПЫТОМ если у кого таковой есть, расскажите пожалуйста пошагово как установить винду при таком раскладе. Может с флэшки или с виртуального cd rom?

p.s. если постите ссылки то будьте уверены, что там описана проблема и ее решение
Ответ: а то что вы
Сообщение от Свидуботаник
Образ подключаю так: правой кнопкой жму на сам образ iso в появившемся окне выбираю "открыть в программе" в следующем окне жму на "подключение образа диска"
это вы к реальной машине образ подключили...