Freesco, NND, CDN, EOS

http://www.freesco.pl
Dzisiaj jest czwartek, 28 marca 2024, 23:07

Strefa czasowa UTC+2godz.




Nowy temat Odpowiedz w temacie  [ Posty: 55 ]  Przejdź na stronę Poprzednia  1, 2, 3  Następna
Autor Wiadomość
 Tytuł:
Post: piątek, 26 lutego 2010, 16:46 
Offline
PGF

Rejestracja: wtorek, 27 czerwca 2006, 14:09
Posty: 2112
Lokalizacja: Poznań
Maciek pisze:
INPUT i OUTPUT.

[ciach]

Nie FORWARD? :>

_________________
Dedykowane systemy CRM, e-commerce i witryny korporacyjne.
Software House Poznań


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: piątek, 26 lutego 2010, 17:03 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
To zależy. Ja zrozumiałem wcześniej, że on wstawia reguły blokujące na INPUT i OUTPUT, więc ewentualna regułka puszczająca np. stronę banku chyba by musiała być w takim samym łańcuchu.

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: piątek, 26 lutego 2010, 17:28 
Offline

Rejestracja: środa, 30 listopada 2005, 17:40
Posty: 62
macgyver2004 pisze:

tyle to wiem, probowalem kilka programow z level7 na czele
dodatkowo wystarczy aby raz sie skype podlaczyl a aktualizuje sobie liste adresow ip z ktorymi laczy sie na starcie, do listy blokowanych serwerow skype caly czas cos dodaje ale to walka z wiatrakami


więc może zrób jak radzi Maciek: zablokuj cały ruch na porcie 443 i ustal listę wyjątków. Ile taka lista będzie miała pozycji? Kilkanaście? Kilkadziesiąt?

macgyver2004 pisze:
Mordazy pisze:
A propos Skype Portable i innych niechcianych rzeczy uruchamianych z pendriva: w windzie jest możliwość zablokowania uruchamiania programów z urządzeń przenośnych.


tak to by bylo fajne ale domeny nie ma w firmie
a obskoczenie 100 kompow i laptopow to nie jest chwila pracy


No samo się nie zrobi... Przy takiej ilości kompów może warto już pomyśleć o jakimś kompleksowym rozwiązaniu?


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: piątek, 26 lutego 2010, 18:46 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
Starym i siwym, a ludzie nie przestają mnie zadziwiać.
Na początku wydawało mi się, ze mamy do czynienia z pracownikiem jakiejś niewielkiej firmy, który dostał od szefa zadanie, aby ukrócić internetowe harce pracowników. I że zabiera się do tego z gorliwością neofity i umiejętnościami słonia w składzie porcelany.
Teraz dowiadujemy się, że "obskoczenie 100 kompów to nie jest chwila pracy". Nikt nigdy nie mówił, ze opieka nad siecią to chwila pracy. Natomiast moje zdziwienie budzi to, ze firma ze 100 komputerami nie ma jakiegoś sensownego rozwiązania sieciowego. Taki nonsens może się chyba tylko u nas zdarzyć. Sto komputerów i userzy sobie robią co chcą? W firmie? Toż to jest makabra. Mam pod opieką kilka sieci mniejszych - od 20 do 60 maszyn i w żadnej z tych sieci nie ma "hulaj dusza". Mało tego, wszelkie pomysły sieciowe to się ze mną konsultuje i nie wyobrażam sobie jak by można inaczej. Ale też prawdą jest, że ja nigdy nie udaję, ze coś wiem, jeśli nie wiem.

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: sobota, 27 lutego 2010, 13:36 
Offline

Rejestracja: środa, 30 listopada 2005, 17:40
Posty: 62
Maciek pisze:
Starym i siwym, a ludzie nie przestają mnie zadziwiać.[...] Sto komputerów i userzy sobie robią co chcą? W firmie? Toż to jest makabra. Mam pod opieką kilka sieci mniejszych - od 20 do 60 maszyn i w żadnej z tych sieci nie ma "hulaj dusza". Mało tego, wszelkie pomysły sieciowe to się ze mną konsultuje i nie wyobrażam sobie jak by można inaczej. Ale też prawdą jest, że ja nigdy nie udaję, ze coś wiem, jeśli nie wiem.


Masz szczęście. Ja w mojej firmie nie mogę się od kilku lat doczekać na regulamin korzystania ze sprzętu i oprogramowania...


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: sobota, 27 lutego 2010, 22:16 
Offline
Użytkownik

Rejestracja: środa, 23 stycznia 2008, 17:32
Posty: 691
Lokalizacja: Pabianice
To go napisz i podsun szefowi do podpisania.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: sobota, 27 lutego 2010, 22:25 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
Słusznie. Ja pisałem sam. :)

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: niedziela, 28 lutego 2010, 00:56 
Offline
MODERATOR

Rejestracja: wtorek, 31 sierpnia 2004, 23:06
Posty: 3267
Lokalizacja: Katowice
Maciek pisze:
Słusznie. Ja pisałem sam. :)

ja też :)

_________________
Obrazek


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: poniedziałek, 1 marca 2010, 00:24 
Offline

Rejestracja: środa, 30 listopada 2005, 17:40
Posty: 62
CyberDuck pisze:
To go napisz i podsun szefowi do podpisania.


Po co? Budżetówka. "Jedenaste: Nie wychylaj się..." :)


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: poniedziałek, 1 marca 2010, 00:49 
Offline
Użytkownik

Rejestracja: środa, 23 stycznia 2008, 17:32
Posty: 691
Lokalizacja: Pabianice
Krecisz. Nawet ja Cie juz nie rozumiem ...
Cos musisz wybrac :
1. dostosowac sie z mizernym skutkiem do wymagan szefa.
2. odwiedzic powoli cala siec :
a. podsunac regulamin do podpisania
b. zainstalowac oprogramowanie na komputerach klienckich
3. uzerac sie ze wszystkimi ktorzy tak czy tak beda Cie ladowac w ciula
4. zwolnic sie i siedziec na zasilku nie wiadomo ile ..

No cos musisz wybrac.
Mialem sie nic nie odzywac, ale wybrales jedno z najgorszych rozwiazan.
Dzieki temu sobie sam napytasz biedy na wlasna prosbe wczesniej czy pozniej.
Ide o zaklad, ze wszystkich nie upilnujesz.
Ja mialem takiego niefrasobliwego zachowania sie uzytkownikow w swojej
firmie. Gosc sobie sciagal filmy. Nie bylo mozliwosci zablokowania takich
praktyk wczesniej, ale za to wszyscy podpisali odpowiedni papierek wczesniej
zeby czegos takiego nie robic. No i gosc wylecial z pracy.

Zrobisz jak bedziesz chcial. Ide o zaklad, ze za jakis czas wrocisz do tego watku
i bedziesz sie dalej dopytywac co z tym fantem zrobic. Po przeczytaniu watku
uznaje, ze skoto Tobie sie nie chce to zawsze sie jakis znajdzie zeby zrobic
z pana "administratora" barana .


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: poniedziałek, 1 marca 2010, 10:32 
Offline

Rejestracja: środa, 30 listopada 2005, 17:40
Posty: 62
CyberDuck pisze:
Krecisz. Nawet ja Cie juz nie rozumiem ...
Cos musisz wybrac :


Chyba pomyliłeś mnie z autorem wątku :)
Ja po prostu robię swoje. Sieć jest pilnowana, uregulowałem i poblokowałem co trzeba. Z większością załogi odbyłem koleżeńskie rozmowy uświadamiające i wystarczyło. A paru "równiejszych" regulamin (gdyby istniał) i tak by nie dotyczył. Ot, specyfika miejsca :)
Ale w sumie masz rację z tym napisaniem regulaminu. Na razie działa spokojne tłumaczenie i moja charyzma :), ale dobrze byłoby mieć "podkładkę", gdy już dojdzie do sytuacji konfliktowej...


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: poniedziałek, 1 marca 2010, 11:22 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
Myślę, że te słowa nie były skierowane do ciebie Mordazy. Tylko był to dalszy ciąg dyskusji. ;)

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 3 marca 2010, 15:33 
Offline

Rejestracja: środa, 20 lutego 2008, 15:32
Posty: 63
Lokalizacja: Wyszków
Dzieki za slowa otuchy :-)

Jesli mozna to poprosilbym o przyklad takiego dokumentu dla ludzi do podpisania.

A dla tych co jednak interesuje ich blokada podaje moj config ktory o dziwo dziala:

: [/] [] ()
#!/bin/sh

#KONFIGURACJA SKRYPTU
IPTABLES=/sbin/iptables #scieka do iptables
STRONY=/root/webaccept   #sciezka do pliku z odblokowanymi stronami
CONF_ROUTING=1          #wlaczamy routing
CONF_PROXY=1            #transparetne proxy na porcie 81 serwera
CONF_BLOKADA_PORTY=1    #blokada wszystkich portow
CONF_BLOKADA_OTWARTE=1   #otwarcie wybranych portow
#TCP
PORTYODBT   ="21 25 110 143 220"
#UDP
PORTYODBU   =""
CONF_BLOKADA_BANKI=1    #otwieramy port tcp 443 tylko dla wybranych stron
CONF_BLOKADA_GG=1      #blokowanie kontaktu z serwerami Gadu Gadu

#czycimy tablicz poprzednich regu
echo Czyscimy reguly firewall-a
$IPTABLES -F
$IPTABLES -X
$IPTABLES -t nat -X
$IPTABLES -t nat -F
$IPTABLES -t mangle -X
$IPTABLES -t mangle -F

#ustawiamy domyln polityke
echo Domyslna polityka
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT

if [ "$CONF_ROUTING" = "1" ]; then
echo Wlaczamy routing i udostepnianie internetu
echo 1 > /proc/sys/net/ipv4/ip_forward
$IPTABLES -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j MASQUERADE
fi

if [ "$CONF_PROXY" = "1" ]; then
echo Transparetne PROXY
$IPTABLES -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 81
fi

if [ "$CONF_BLOKADA_PORTY" = "1" ]; then
echo Ubijanie UDP i TCP
$IPTABLES -I FORWARD -s 192.168.0.0/24 -p udp --dport 1:65534 -j DROP
$IPTABLES -I FORWARD -s 192.168.0.0/24 -p tcp --dport 1:65534 -j DROP
fi

if [ "$CONF_BLOKADA_OTWARTE" = "1" ]; then
echo Otwieramy porty:
echo TCP:
for adres in $PORTYODBT
do
    echo -n $adres,
    $IPTABLES -I FORWARD -s 192.168.0.0/24 -p tcp --dport $adres -j ACCEPT
done
echo #
echo UDP:
for adres in $PORTYODBU
do
    echo -n $adres,
    $IPTABLES -I FORWARD -s 192.168.0.0/24 -p udp --dport $adres -j ACCEPT
done
echo #
fi

if [ "$CONF_BLOKADA_BANKI" = "1" ]; then
echo Otwieramy dostep do stron
cat $STRONY | while read domena; do
echo -n $domena,
$IPTABLES -I FORWARD 1 -d 192.168.0.0/24 -s $domena -p tcp --dport 443 -j ACCEPT > null
$IPTABLES -I FORWARD 1 -s 192.168.0.0/24 -d $domena -p tcp --dport 443 -j ACCEPT > null
done
echo #
fi

if [ "$CONF_BLOKADA_GG" = "1" ]; then
echo Blokujemy adresy GaduGadu
$IPTABLES -I FORWARD -i eth1 -s 192.168.0.0/24 -p tcp -d 91.197.13.0/24 -j DROP
$IPTABLES -I FORWARD -i eth1 -s 192.168.0.0/24 -p tcp -d 217.17.41.82/28 -j DROP
$IPTABLES -I FORWARD -i eth1 -s 192.168.0.0/24 -p tcp -d 217.17.45.133/27 -j DROP
$IPTABLES -I FORWARD -i eth1 -s 192.168.0.0/24 -p tcp -d 217.17.46.250/24 -j DROP
fi



w pliku /root/webaccept wpisujemy strony wymagajace https np.:
: [/] [] ()
mbank.pl
mbank.com.pl
ipko.pl
ipko.com.pl


Pozdrawiam

_________________
Dom: Debian (1,6GHz, 2GB@256, 250GB)
[DHCP, Squid, Apache...]
Praca: NND (400Mhz, 512@300, 40GB)
[DHCP, Squid, dansguardian, niceshaper]


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 3 marca 2010, 16:07 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
Przychodzą mi na myśl słowa, które Adaś Miałczyński wypowiedział w "Dniu Świra", gdy brał wypłatę w kasie.
: [/] [] ()
#ustawiamy domyln polityke
echo Domyslna polityka
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT

Nie wiem czy tak naprawdę te twoje regułki działają, ale z powyższego domyślam się, że zapraszasz hakerów. ;)

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 3 marca 2010, 16:12 
Offline

Rejestracja: środa, 20 lutego 2008, 15:32
Posty: 63
Lokalizacja: Wyszków
Wcale nie.
Jeszcze przed tym routerem jest jeden ktory nie pozwala na polaczenie po ssh czy czymkolwiek innym.
A regulki jak najbardziej dzialaja.

_________________
Dom: Debian (1,6GHz, 2GB@256, 250GB)
[DHCP, Squid, Apache...]
Praca: NND (400Mhz, 512@300, 40GB)
[DHCP, Squid, dansguardian, niceshaper]


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 3 marca 2010, 16:25 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
Wiesz, fajnie, że masz ten dodatkowy router.
Przypomniało mi się zdanie wypowiedziane przez Edisona, gdy zapytano go, jak powstają wynalazki. Powiedział: "Spore grono mądrych i wykształconych ludzi wie, że coś jest niemożliwe, przychodzi nieuk i ignorant, który o tym nie wie, i dokonuje wynalazku."
Serdecznie chciałbym, aby w tym przypadku to powiedzonko Edisona się sprawdziło. Jednak jak znam życie - prawdziwe jest tylko zdanie nadrzędne z podrzędnym.
Jak dla mnie EOT w tym temacie.

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 3 marca 2010, 16:31 
Offline
MODERATOR

Rejestracja: wtorek, 31 sierpnia 2004, 23:06
Posty: 3267
Lokalizacja: Katowice
Twoja lista blokowanych serwerow gadu-gadu jest lekko do ...
http://www.kadu.net/monitor/

_________________
Obrazek


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 3 marca 2010, 16:36 
Offline

Rejestracja: środa, 20 lutego 2008, 15:32
Posty: 63
Lokalizacja: Wyszków
czerwo pisze:
Twoja lista blokowanych serwerow gadu-gadu jest lekko do ...
http://www.kadu.net/monitor/


port 8074 jest blokowany wiec i ta jest niepotrzebna
ale caly zakres 91.197.13.0-255 jest blokowany wiec nie wiem o czym piszesz

Maciek nie kazdy tutaj jest tak super obcykany we wszystkim jak ty.
Uwazaj bo nosem zawadzisz o sufit.

Nie wiesz jak dziala moja firma, nie wiesz jak mam skonfigurowana siec.

Widze ze userzy z toba naprawde maja przerabane.

Nie zazdroszcze im.

A teraz wracaj do WOW czy co tam jeszcze robisz zamiast pracowac.

Pozdrawiam

_________________
Dom: Debian (1,6GHz, 2GB@256, 250GB)
[DHCP, Squid, Apache...]
Praca: NND (400Mhz, 512@300, 40GB)
[DHCP, Squid, dansguardian, niceshaper]


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 3 marca 2010, 16:55 
Offline
MODERATOR

Rejestracja: wtorek, 31 sierpnia 2004, 23:06
Posty: 3267
Lokalizacja: Katowice
Pisze o tym, że masz jakiś wykaz serwerów gadu gadu w momencie powstania nowego/zmiany adresu wszystko bierze w łeb ;D
Blokujesz gg a tlen?
A wszystko chodzi o prosta sprawa.
przynosze putty do pracy i wpisuje putty.exe root@listonosz.com.pl -D 8000
firefox w ustawieniach wpisuje port 8000 i mam całego neta i możesz mnie za przeproszeniem w tylną część ciała ... .
W necie jest od groma opisów jak ominąć zabezpieczenia stwarzane przez adminów.
To tak jak z radarami i antyradarami.
Był rada powstał antyradar to później radar miał wykrywać antyradar więc powstał nowy antyradar żeby nie był wykrywany przez radar, więc powstał nowy radar ... .
Ty robisz dokładnie to samo.
Proponuję zadać proste pytania po co net wam jest?
Nie lepiej robić statystyki kto ile siedzi na gg??
Kto ile spędza czasu na ircu czy innych rzeczach?
A tak ludzie zamiast robić będą siedzieć i kombinować jak ominąć zabezpieczenia. Ja bym sobie kupił blueconnecta i powiedział Ci, że jesteś niepoważny, nie da się wsadzić do komputera w pracy przyniosę swojego laptopa albo inne eepc. Też nie? To klienta gg w telefonie sobie odpalę i co mi zrobisz?? Będziesz zakłócał sieć komórkową czy zdajecie do depozytu telefony jak wchodzicie do pracy?

_________________
Obrazek


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 3 marca 2010, 17:02 
Offline

Rejestracja: środa, 20 lutego 2008, 15:32
Posty: 63
Lokalizacja: Wyszków
czerwo pisze:
Pisze o tym, że masz jakiś wykaz serwerów gadu gadu w momencie powstania nowego/zmiany adresu wszystko bierze w łeb ;D
Blokujesz gg a tlen?
A wszystko chodzi o prosta sprawa.
przynosze putty do pracy i wpisuje putty.exe root@listonosz.com.pl -D 8000
firefox w ustawieniach wpisuje port 8000 i mam całego neta i możesz mnie za przeproszeniem w tylną część ciała ... .
W necie jest od groma opisów jak ominąć zabezpieczenia stwarzane przez adminów.
To tak jak z radarami i antyradarami.
Był rada powstał antyradar to później radar miał wykrywać antyradar więc powstał nowy antyradar żeby nie był wykrywany przez radar, więc powstał nowy radar ... .
Ty robisz dokładnie to samo.
Proponuję zadać proste pytania po co net wam jest?
Nie lepiej robić statystyki kto ile siedzi na gg??
Kto ile spędza czasu na ircu czy innych rzeczach?
A tak ludzie zamiast robić będą siedzieć i kombinować jak ominąć zabezpieczenia. Ja bym sobie kupił blueconnecta i powiedział Ci, że jesteś niepoważny, nie da się wsadzić do komputera w pracy przyniosę swojego laptopa albo inne eepc. Też nie? To klienta gg w telefonie sobie odpalę i co mi zrobisz?? Będziesz zakłócał sieć komórkową czy zdajecie do depozytu telefony jak wchodzicie do pracy?


gdyby to odemnie zalezalo to nawet bym tej blokady nie uruchamial
ale dostalem takie zadanie od szefa i to robie
nie szukam w tym sensu i sposobow na omijanie
ja tez mam pelny dostep do internetu i uslug

i wiem ze na kazda blokade zaraz znajdzie sie obejscie bo i ja tak robie

co do bluconnect/iplus/orange to jak najbardziej
nawet szef powiedzial wszystkim ze jak chca moga uzywac prywatnych

u mnie w firmie sa same laptopy wiec pelna blokada wszystkiego co moga
uzytkownicy odpada
czasami od klientow materialy dostaja na pendrive i w roznych formatach
aplikacje/dokumenty inne pliki

i jedna wielka uwaga:

zamiast komentowac, pomagajcie albo nieodpisujcie

_________________
Dom: Debian (1,6GHz, 2GB@256, 250GB)
[DHCP, Squid, Apache...]
Praca: NND (400Mhz, 512@300, 40GB)
[DHCP, Squid, dansguardian, niceshaper]


Na górę
 Wyświetl profil  
 
Wyświetl posty nie starsze niż:  Sortuj wg  
Nowy temat Odpowiedz w temacie  [ Posty: 55 ]  Przejdź na stronę Poprzednia  1, 2, 3  Następna

Strefa czasowa UTC+2godz.


Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 19 gości


Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników

Szukaj:
Przejdź do:  
cron
Technologię dostarcza phpBB® Forum Software © phpBB Group
Hosting: Compus-Net
RobertKonik.pl