[elektro-etc] net kontroll

Vajk Fekete vajkhu at gmail.com
Tue Feb 5 10:12:35 CET 2013 

Azert ne tegyunk mar egy linuxos gepet annak minden gondjaval es
veszelyevel oda csak azert, mert az otforintos haztartasi router nem tudja
megoldani a problemat.

Egy igazi SOHO routernben siman van parameterezheto firewall, ossze lehet
pakolni a ruleokat arra hogy ki mit csinalhat, meg akar idofuggoen is.

Ha meg olcso kell, akkor kell olyan haztartasi router, amire lehet
openwrt-t tenni, es abban van rendes firewall.

Vajk

2013/2/4 <pm_levlista at progzmaster.hu>

> Ha meg lehetne oldani, hogy a forgalom átmenjen egy gépen, ne a soho
> routerrel kelljen bohóckodni, akkor elég egyszerű a feladat.
>
> A kiírásból sejthető hogy windows-only gépek vannak, én meg elmondom hogy
> lehet linuxon megcsinálni, aztán aki tudja, átfordítja win megoldásra...
>
> Szóval kell egy linux gép, amin átmegy a forgalom, ez lehetne az ADSL
> router is egyben. Az összes gépen ezt kell megadni default gateway-nek.
> iptables-sel szépen szabályozható ki hová mehet, esetleg egy proxy is
> célszerű (squid).
> Hogy ne kézzel kelljen túrni a tűzfal szabályokat, a legegyszerűbb mód,
> hogy kell rá egy webszerver meg PHP (bár ugye semmi akadálya a bash
> scriptnek). Össze kell dobni egy kódot, ami a kívánt módon átállítja az
> iptables szabályokat, miegymást... A lehetőségek száma innentől végtelen.
>
> Mivel biztonsági szempontból eléggé aggályos ez az egész összeállítás,
> mindenképp csak LAN-ról lehessen elérni ezt a szervert.
>
> Ugye összedobható olyan script is, ami bejelentkezik a meglévő routerre és
> ott hergeli a tűzfalat, ezt üzembiztosra megírni igen izgalmas feladat tud
> lenni. Próbálkoztam ilyesmikkel, volt olyan eszköz, ami úgy tele volt
> javascripttel, hogy a weboldal elemeit megtalálni is külön erőfeszítés
> kellett.
>
> Ha van gép a webszervernek, akkor sokkal egyszerűbb a gateway szerepet is
> rábízni.
>
>
> sent from MailDroid
>
>
>
> -----Original Message-----
> From: "Pocsai László" <pocsai at scifi.hu>
> To: "Kovács József" <elektro-etc at tesla.hu>
> Sent: H, 04 febr. 2013 22:26
> Subject: Re: [elektro-etc] net kontroll
>
> Hello
>
> Monday, February 4, 2013, 1:30:26 PM, you wrote:
>
>
> > Azonban a főnök szeretné elérni a következőt is.
>
> > Az egyik pc-n konkrétan a C-én  és notebook-on konkrétan a D
> > az internet alapból ne legyen elérhető, csak AKKOR HA
> > a B jelű pc-t kezelő emberke engedélyezi  neki(k).
>
> > Azonban az email (thunderbird) az internet tiltás
> > alatt is menjen C és D számára is, ha mód van rá....
>
> > Van erre valami eccerű-naccerű megoldás?
>
> Első 5let
>
> A 'felügyelt' gépeken legyen a dns szerver az engedélyező gép.
>
> A mail szervert az ip címével megadni a felügyelt gépen a levelezőben
> (vagy a HOSTS fájlban megadni az IP-jét - így titkosabb ;) - illetve
> ítt lehet beállítani mindig elérhető oldalakat, ha van ilyenre igény.)
>
> Az engedélyező gépre valami egyszerű dns szervert/proxit telepíteni,
> amit egy-egy ikonnal (pl. 'netezhet' - 'nem netezhet' névvel) lehet
> elindítani és leállítani.
>
>
> > Amit a C és D nem tud meghekkelni-kikerülni a saját gépéről!
>
> A felügyelt gépen ne legyen rendszergazda jogú a felhasználó
>
>
>
> --
> Best regards,
>  PL                            mailto:pocsai at atme-net.hu
>
>
>
>

More information about the Elektro-etc mailing list