[elektro-etc] net kontroll

pm_levlista at progzmaster.hu pm_levlista at progzmaster.hu
Mon Feb 4 23:37:15 CET 2013 

Ha meg lehetne oldani, hogy a forgalom átmenjen egy gépen, ne a soho routerrel kelljen bohóckodni, akkor elég egyszerű a feladat.

A kiírásból sejthető hogy windows-only gépek vannak, én meg elmondom hogy lehet linuxon megcsinálni, aztán aki tudja, átfordítja win megoldásra...

Szóval kell egy linux gép, amin átmegy a forgalom, ez lehetne az ADSL router is egyben. Az összes gépen ezt kell megadni default gateway-nek. iptables-sel szépen szabályozható ki hová mehet, esetleg egy proxy is célszerű (squid).
Hogy ne kézzel kelljen túrni a tűzfal szabályokat, a legegyszerűbb mód, hogy kell rá egy webszerver meg PHP (bár ugye semmi akadálya a bash scriptnek). Össze kell dobni egy kódot, ami a kívánt módon átállítja az iptables szabályokat, miegymást... A lehetőségek száma innentől végtelen.

Mivel biztonsági szempontból eléggé aggályos ez az egész összeállítás, mindenképp csak LAN-ról lehessen elérni ezt a szervert.

Ugye összedobható olyan script is, ami bejelentkezik a meglévő routerre és ott hergeli a tűzfalat, ezt üzembiztosra megírni igen izgalmas feladat tud lenni. Próbálkoztam ilyesmikkel, volt olyan eszköz, ami úgy tele volt javascripttel, hogy a weboldal elemeit megtalálni is külön erőfeszítés kellett.

Ha van gép a webszervernek, akkor sokkal egyszerűbb a gateway szerepet is rábízni.


sent from MailDroid



-----Original Message-----
From: "Pocsai László" <pocsai at scifi.hu>
To: "Kovács József" <elektro-etc at tesla.hu>
Sent: H, 04 febr. 2013 22:26
Subject: Re: [elektro-etc] net kontroll

Hello

Monday, February 4, 2013, 1:30:26 PM, you wrote:


> Azonban a főnök szeretné elérni a következőt is.

> Az egyik pc-n konkrétan a C-én  és notebook-on konkrétan a D
> az internet alapból ne legyen elérhető, csak AKKOR HA
> a B jelű pc-t kezelő emberke engedélyezi  neki(k).

> Azonban az email (thunderbird) az internet tiltás
> alatt is menjen C és D számára is, ha mód van rá....

> Van erre valami eccerű-naccerű megoldás?

Első 5let

A 'felügyelt' gépeken legyen a dns szerver az engedélyező gép.

A mail szervert az ip címével megadni a felügyelt gépen a levelezőben
(vagy a HOSTS fájlban megadni az IP-jét - így titkosabb ;) - illetve
ítt lehet beállítani mindig elérhető oldalakat, ha van ilyenre igény.)

Az engedélyező gépre valami egyszerű dns szervert/proxit telepíteni,
amit egy-egy ikonnal (pl. 'netezhet' - 'nem netezhet' névvel) lehet
elindítani és leállítani.


> Amit a C és D nem tud meghekkelni-kikerülni a saját gépéről!

A felügyelt gépen ne legyen rendszergazda jogú a felhasználó



-- 
Best regards,
 PL                            mailto:pocsai at atme-net.hu

More information about the Elektro-etc mailing list