Hy all,
Akadt egy kis gondom a hálózatunk biztonságával. (kis iroda)
Jelenleg így néz ki a hálózat:
Adott egy Router (TP-Link) ez adja a kliens gépeknek a IP címet és a többit. GW-nek egy linux szervert ad meg ahol proxy(transparent) és tűzfal van tehát csak ezen a gépen keresztül juthat ki a netre vagy férhet hozzá a helyi hálózathoz.
A gond a következő:
Van egy user aki idétlen forgalmat bonyolít a hálózaton. Őt szeretném keményen korlátozni. Ugye ez a Squid-al és az Iptables-el működne is.
Mivel a proxy transzparens nem tudja megkerülni, mivel DHCP adja a beállításokat ennek jónak kellene lennie. DE!
Tisztelt user-t agyon korlátozom, ez nem tetszik neki, ipconfig-al (WinXP) megnézi a beállításit, kiveszi a DHCP-t és már meg is szűnt a korlátozása.
GW-nek nem a linux server-t adja meg hanem a router-t és már is nincs proxy se jól konfigurált tűzfal.
Kellene valami egyedi azonosító vagy "valami", hogy csak akkor férhessen hozzá a hálózathoz, ha a DHCP-től kapta a beállításokat.
Tud valaki erre megoldást mondani/javasolni?
- 1092 megtekintés
Hozzászólások
1) MAC alapján szűrni
2) router a szerver másik hálókártyáján (így effektíve a teljes belső háló internet elérését menedzselheted proxyval, iptables-sel)
--
"SzAM-7 -es, tudjátok amivel a Mirage-okat szokták lelőni" - Robi.
- A hozzászóláshoz be kell jelentkezni
minek oda egyáltalán a router? Csináld a routolást is a linuxal...
- A hozzászóláshoz be kell jelentkezni
Tegyek 7db hálókártyát a gépbe?
Router:
- Kapcsolódik az internetre
- Kiosztja a hálózati beállításokat (DHCP)
- Route-ol
- A hozzászóláshoz be kell jelentkezni
hint: linux 2 kártyával+ 8 portos switch ....
Linux megy ki netre, routol,dhcp-zik..
- A hozzászóláshoz be kell jelentkezni
sajna ez nem megoldható. :(
Abból kell építkeznem amim van.
- A hozzászóláshoz be kell jelentkezni
csak a netet kösd át a linuxba, routeredet használhatod simán switchnek, meg dhcp szervernek
szerk: +1 kártya kell a linuxa, ami használtan kb 2 üveg sör ára
- A hozzászóláshoz be kell jelentkezni
egyet mát ittam :))
amúgy van 2 kártya nem kell venni
- A hozzászóláshoz be kell jelentkezni
akkor a routerből kihúzod a netet, és átrakod a linuxba. A router többi portja sima switchként működik, a linux meg kezeli a netet.
- A hozzászóláshoz be kell jelentkezni
A végső megoldás!
Csak én azt szeretném, hogy az internet és a kliensek közötti kommunikáció akkor is működik, ha a Linux szerver áll.
- A hozzászóláshoz be kell jelentkezni
egy szerver ne alldogaljon, ha megis megtenne, akkor meg egy zsinor atkotessel es egy kis tplink configturassal - kb 5 perc alatt at lehet hidalni, amig helyrepofozod
- A hozzászóláshoz be kell jelentkezni
Néha muszáj.
Meg sajna ezen van a Samba is. Ezért sem szeretném, hogy közvetlenül legyen a neten.
- A hozzászóláshoz be kell jelentkezni
egy szar soho routerben jobban bízol, aminek a legfrissebb firmware-je is 5 éves? :)
Jól konfigurált, folyamatosan patchelt linux szerintem biztonságosabb...
- A hozzászóláshoz be kell jelentkezni
Nem bízom benne jobban.
Ez azért lett így mert a router kéznél volt nem kellett venni semmit és gondoltam az erőforrás is jobban eloszlik.
De úgy látom kénytelen leszek vissza térni a régi megoldáshoz:
Linux server csinál mindent - GW, DHCP, Proxy, Iptables, Samba, Intranet
A TP-Link meg lesz kinevezett switch.
- A hozzászóláshoz be kell jelentkezni
konfigurálni sem kell....csak wan port bedug, és van megint online pr0n. :)
- A hozzászóláshoz be kell jelentkezni
Miért, ez most sem így van, ha a linux a gw és a proxy.....
- A hozzászóláshoz be kell jelentkezni
bocs.
jogos a pont! ;)
- A hozzászóláshoz be kell jelentkezni
Régen ez így volt. Nem is volt gond :)
De meghalt a switch.
És pont ez a user nem engedte, hogy másikat vegyek. (ő a főnök és a legnagyobb akadálya a gördülékeny munkavégzésnek)
- A hozzászóláshoz be kell jelentkezni
a router, aminek a birtokaban vagy remekul lehet switchkent is hasznalni (nem ismerem pontosan a tipust, de a legtobb soho router nem tobb, mint egy 1-1 router es egy 1-sok switch hazassaga es inkabb csak NAT-olnak, mint routolnak.
- A hozzászóláshoz be kell jelentkezni
ja, akkor szarj bele, és keress egy normális munkahelyet.... :)
- A hozzászóláshoz be kell jelentkezni
Bárcsak ilyen egyszerű lenne :(
De azért folyamatban van :)))
Addig is ki kell tartanom.
- A hozzászóláshoz be kell jelentkezni
internet - GW (ez csatlakozik kifele, akar VPN-t is lehet ratolni es ez a fonok befele) - tplink ( nem csinal mast csak switchel ) - sok kicsi kliens
- A hozzászóláshoz be kell jelentkezni
ne a tplinkkel routeolj, csinalja ezt a GW, resource is tobb van benne ilyen celra gonddolom.
innentol meg DHCP configban kosd macaddresshez az ip-t, mindenki masnak meg restricted poolbol adj ip-t, amivel csak azt ernek el, amit megengedsz. aki meg nem dhcp-s tartomanybol, nem megfelelo macaddressel, jon annak drop iptablesbol.
- A hozzászóláshoz be kell jelentkezni
Most is MAC-hez van kötve az IP.
De, ha XP-ben kikapcsolja a DHCP csatlakozás és megadja fixen ugyan azokat a beállításokat akkor működik tovább.
- A hozzászóláshoz be kell jelentkezni
hogyan tudja egy user átírni az ip beállításokat?
- A hozzászóláshoz be kell jelentkezni
WinXP -> Hálózati beállítások -> ....
Nem tudom megvonni az Admin jogot mert újra telepíti a gépet és kész. (saját gép)
- A hozzászóláshoz be kell jelentkezni
hát ez szörnyű.
ilyen erővel a kábelt is kihúzhatja és bbedughatja a saját gépébe, és köphet egyet a linuxos gateway irányába, nem? :)
router nem tud mac cím alapján qos-t? (nem hinném :D )
- A hozzászóláshoz be kell jelentkezni
az iptables dobja el a csomagjat, mert a)nem dhcpvel kapott ip-t, b) az ipcime nem a restricted poolbol van es nem ismert a MAC addresse, c) mert nincs rajta sapka
innetol meg az xp-jet kapcsolgathatja ahova akarja, max nem kap semmit
- A hozzászóláshoz be kell jelentkezni
Bocsi, nem emlekszem a technologia nevere, de van olyan szures, hogy csak az altala kiosztott ip-kre szolgaltasson netet. Ne lehessen kalozkodni.
- A hozzászóláshoz be kell jelentkezni
Szerintem meg LSRW208 es ACL korlatozast a router fele - csak a szerver erheti el ;) Aztan kapja be.
Vagy amit kollega mondott: kulon interfacera a net aztan lehet jatszani.
- A hozzászóláshoz be kell jelentkezni
Router biztos tud szurni mac address szerint, szurd ki. Ha igy ipt sem kapna akkor tedd a dhcpdt a linuxos gepre
- A hozzászóláshoz be kell jelentkezni