- 334 megtekintés
Hozzászólások
Most felmerült, hogy tantermenként a gépeken le kellene tiltani a külső net hozzáférést (vizsgák, zh-k alkalmával egy eséllyel kevesebb a csalásra).
Keresd meg a GTK-s kollégát, hogy ott milyen megoldás van erre, az ottani oktató kollégák szeretik :) (pár hónapja otthagytam az egyetemet, de még annó én raktam össze: a DHCP szerver mindegyik gépnek fix IP címet oszt ki, gateway-nek pedig egy VM-ként futó szerver címét osztja ki, ami iptables szabályokkal ipset-ek alapján szűr (pl. a coospace ipset tagjai elérhetik a CooSpace IP-címét), és kapott egy webes felületet, amivel akár gépenként egyesével be tudják kattintgatni, hogy ki mit érhessen el). Ha egyszer beállítod, onnantól set & forget, az évek alatt csak annyi gond volt vele, hogy néhány oktató beállította, hogy visszavonásig legyen valami tiltás (ami valójában visszavonás vagy éjfél, mert készültem erre :) ), aztán nem vonta vissza, a következő oktató meg nem értette, mizu...
Erre meg a legjobb tippem, hogy lehet, hogy túl hamar fut le és még nem fut rendesen a tűzfal-szolgáltatás. Az elejére egy net start mpssvc?
BlackY
"Gyakran hasznos ugyanis, ha számlálni tudjuk, hányszor futott le már egy végtelenciklus." (haroldking)
- A hozzászóláshoz be kell jelentkezni
Köszi a tippet, és bocsi a késői válaszért!
Végül kicsit másképp oldottam meg. A megoldás, amit felvázoltál, elegáns, és nagyon jól használható.
Viszont nálunk - ahogy a kollégák mondták - nincs szükség tanteremnél finomabb granularitásra, másrészt az infrastruktúra (meg az emberanyag (khm, én :) ) nem bírna el egy ekkora váltást. Fenntartani tudom, hogy már szinte nem kell, de ennyire átvariálni a jelenlegi rendszert most nem akartam/tudom. (oktatás, meg egyéb feladatok mellett rugdosom én is a rendszert)
Nekem is az volt a gyanúm, hogy a tűzfal szolgáltatás még nem (legalábbis nem mindig) ment, mikor a script már hozzányúlt volna, és emiatt a boot során elkezdett rá várni. Viszont abban sem voltam biztos, hogy ha a tűzfalat elindítom, az nem vár más service-re...
Szóval az lett a vége, hogy a gépekre lemegy a fenti batch fájl lokálba, és onnan futtatom egy ütemezett feladattal bejelentkezéskor.
Így az az előny is megvan, hogy a boot során még van net, majd a bejelentkezés után tiltom csak le.
A tiltáshoz, illetve az újra engedélyezéshez nálunk egy hálózati megosztáson levő batch file-t kell futtatni, az onnantól intéz mindent. Tulajdonképpen ez adja hozzá, vagy veszi el az adott tantermek gépeihez/-ről a azt a wpkg feladatot, ami a fenti ütemezett feladatot hozzá adja a Windowshoz, vagy törli azt. Ami meg már maga a Windows saját tűzfalához adja hozzá, vagy törli a szabályt.
Tehát WPKG-ban bekapcs/kikapcs tiltás -> a WPKG leküldi a tűzfal tiltó/engedélyező szabályt a gépre, és létrehozza, vagy törli a bejelentkezéskor lefutó feladatot -> ez a feladat maga a tűzfal szabály létrehozása és engedélyezése vagy törlése.
Ha valakit részletesebben érdekel szívesen mesélek, de most, ide szerintem ennyi elég :)
Köszi még egyszer a segítséget!
<-------
You can't grep on dead trees.
- A hozzászóláshoz be kell jelentkezni