Az lenne a feladatom, hogy egy olyan kiszolgálót telepítsek, ami gyakorlatilag egy kapuként funkcionál az Internet felé. A cégnél a felhasználók rendelkeznének egy user/passwd párossal, amikkel be tudnának jelentkezni a szerverre, és csak így jutnának hozzá a mannához(ugye egy hálókártyán keresztül jönne az Internet, egy másik hálókártyán menne a nép felé). Az plusz trükk, hogy semmilyen forgalom nem engedélyezett a levelezésen kívül (pop3, imap, smtp, és a secure változatok, port számokat fejből nem tudok). Az egészet egy stable Debianon valósítanám meg, ezért került ebbe a topicba.
Egyelőre két ötletem van:
- LDAP azonosítás, és valami iptables skript összekapcsolva (már ha ilyesmi megoldható)
- proxy kiszolgáló használata
Ha van más ötleted, esetleg ehhez a kettőhöz megvalósítási ötlet (mert valljuk be, fogalmam sincs hogyan valósítsam meg, eddig ilyenekkel nem foglalkoztam), nagyon megköszönném!
rsdy
- 1926 megtekintés
Hozzászólások
Én ezt úgy oldottam meg, hogy csak proxyn keresztül lehet kilátni, oda viszont user/pass kell.
A proxy Squid, a felhasznalokat mysqlben tarolom.
SMTP -t ne engedd ki, abból csinálj sajátot szerintem és a felhasználóid azt használják.
Jah, most látom: a levélletöltést akarod csak engedélyezni? Akkor lehet inkébb a samba authenticated gateway lenne a jó megoldás, de ilyet még nem csináltam, csak olvastam, hogy lehet...
Webhez viszont szerintem a proxy a legjobb megoldás (már csak azért, mert cachel) és úgy egyszerű kiszűrni a nemkívánatos tartalmakat is.
- A hozzászóláshoz be kell jelentkezni
Kössz, találtam is howtot erre a samba authenticated gatewayre, még eldöntöm, hogy megéri-e a kínlódást, vagy tényleg proxy lesz belőle.
- A hozzászóláshoz be kell jelentkezni
a proxy lehet hogy kényelmes, de mit csinálsz a https kapcsolatokkal?
Személyes vélemény: mostanság van értelme az ilyesminek, hogy korlátozni a nethozzáférést username + password-dal?
- A hozzászóláshoz be kell jelentkezni
Https is megy proxyra.
Van értelme, mert iskola és a csodálatos sulinet igazából napközben két gépre is kevés lenne. Meg a tanárok szeretik, hogy diákonként tudják tiltani és engedélyezni a hozzáférést. Stb...
- A hozzászóláshoz be kell jelentkezni
"Https is megy proxyra."
Nem tudom más hogy van vele, de én be nem írnám a bankkártyaszámomat egy http:// url-ű oldalon vagy amelyiknek nem látom a certificate-jét.
"Van értelme, mert iskola és a csodálatos sulinet igazából napközben két gépre is kevés lenne."
Így érthetőbb lenne a dolog, egy iskolánál mondjuk. De egy cégnél?
Mire jó? Limitálni a bandwidth-et? (ma azért már megengedhet bármilyen cég pár megabitet). Letiltani az IM-ket? (lásd: web-based IM clients). Nyomonkövetni hogy ki milyen címeket látogat? (vannak publikus proxy-k).
Legyen még egy dolog, amibe/amiből "be/ki kell jelentkezni"?
Félreértés ne essék: nem flamelni akarok, csak kérdezem. És persze nem a szerencsétlen rendszergazda a hibás, akinek a nyakába varrják, hogy csinálja meg.
- A hozzászóláshoz be kell jelentkezni
az en dolgom sajnos nem eldonteni, hogy van-e ertelme, hanem megvalositani. Es sajnos nincs nagyon lehetosegem ellenkezni, mert aztmondtak, hogy ez igy legyen meg jovo heten, kesz
Abban igazad van, hogy proxyt ki lehet kerulni, de kenyelmes, es ha https, akkor az mar a user nem pornot leechel bittorrenten, hanem banki adatait nezegeti(vagy ultrasecure pornoszajtot nezeget:D), az meg nem eszi a savszelt, illetve nem tud vele annyit ellenni, hogy elvenne az idejet a munkatol.
- A hozzászóláshoz be kell jelentkezni
....vagy pl. ssh-zik és kiforwardolja a portokat. :) /mondjuk egy 443-on felelő ssh szerveren át :)/
- A hozzászóláshoz be kell jelentkezni
Tudom, utáljuk az M$-t, de én erősen tudom ajánlani a MS ISA Server 2006-t. Tud HTTPS-t újratunellezni is asszem, meg mindenféle finom korlátokat. Ilyen feladatra tökéletes.
- A hozzászóláshoz be kell jelentkezni
A hálózat többi gépe windows alapú?
- A hozzászóláshoz be kell jelentkezni
igen, nincs linux alapu rendszer a kiszolgalokon kivul.
- A hozzászóláshoz be kell jelentkezni
Akkor ISA szerverben nem gondolkodhatsz?
szerk: Megvan a megoldás:
AD tartományba való bejelentkezéskor van lehetőséged egy logon scriptet lefuttatni. Ez a script meghív a tűzfalon egy eljárást (mondjuk egy CGI-t), ami beállítja az új szabályokat az adott IP-re.
Ennek ugye az a hátránya, hogy amíg nem történt bejelentkezés az AD-be, addig az előző felhasználó jogaival netezel (mert a gép IP címe megmaradt), de mivel minden kliens XP, ez jó eséllyel elkerülhető.
Mondjuk abba nem árt belegondolni, hogy ezzel - már kis számú gépparknál is - elég nagy lessz a csomagszűrő-tábla mérete.
- A hozzászóláshoz be kell jelentkezni
nem, mert ott a szoftver is pénzbe kerül... De valószínűleg Samba authenticated gateway lesz belőle.
- A hozzászóláshoz be kell jelentkezni
Neked a NuFW kell.
szerk.: ennek a Wines kliense fizetős. Amennyiben ez gond, megpróbálkozhatsz egy *BSD/authpf kombóval, de azzal az a gond, hogy minden kliensgéphez kulcsot kell generálni, ill. usert az authenticating gateway-en.
It doesn't matter if you like my song as long as you can hear me sing
- A hozzászóláshoz be kell jelentkezni