Изпечатай

[mrowcp]

Здравейте,
До колкото се запознах с проблема, най-лесно въпросното животно се блокира с L7 филтър.Проблема е, че няма такъва за FreeBSD.Намерих някаква версия на L7 писана за FreeBSD - ipfw-classifyd.Някой ползвал ли е този скрипт и до колко е надежден/работи?

П.С. Принципно има Squid  на сървъра, проблема е, от нивата на достъп на потребителите и съответно няма как шефа да няма http и скайп, а другите налазват през него.
Интересно какво ще стане ако се отделят ПС-тата който трябва да имат интернет и скайп в друг VLAN...

P.S. След като прочетох темата в линукс раздела... тотално се отчаях от идеята 

[romeo_ninov]

Щом шефа иска за себе си, но не и за другите да го наложи по административен път, това е най-сигурното решение

[bubu]

Най-лесно си е да направиш листа с ип-тата, които да имат достъп от тези услуги, да им го позволиш във файъруола, а пък другите да ги ограничиш до колкото трябва. Пример за конфигурация на защитна стена под ФрийБСД.

http://www.acme.com/firewall.html

[mrowcp]

Щом шефа иска за себе си, но не и за другите да го наложи по административен път, това е най-сигурното решение

то е наложено, но някой хора не го спазват А няма как да обикалям от ПС на ПС да гледам пускат ли скайп.

Най-лесно си е да направиш листа с ип-тата, които да имат достъп от тези услуги, да им го позволиш във файъруола, а пък другите да ги ограничиш до колкото трябва. Пример за конфигурация на защитна стена под ФрийБСД.

http://www.acme.com/firewall.html

Какво имаш предвид под "листа с ип-тата, които да имат достъп от тези услуги" ?Списък със сайтовете който са позволени да се отварят?Ако е това... ще мине доста време докато ги опиша и постоянно ще трябва да се добавят нови и нови.Идеята по скор беше да се спре самия skype трафик.

[romeo_ninov]

Щом шефа иска за себе си, но не и за другите да го наложи по административен път, това е най-сигурното решение

то е наложено, но някой хора не го спазват А няма как да обикалям от ПС на ПС да гледам пускат ли скайп.

Разбира се че има начин да се разбере, само че предпочитам да не споделям тази информация

[bubu]

В предишната фирма го бяхме направили така - на машините им се раздаваха статични адреси от дхцп-то и адресите на хората, които трябваше да имат по привилигерован достъп бяха с едни правила, а всички останали с други. Можеш също така да си направиш подмрежа за привилигерования достъп и друга за обикновен достъп. По този начин ако някой трябва да му се сменят правата, просто го преместваш в правилната група и това е.
За защитна стена нямахме ние БСД, но принципа е същия.

[kip]

Ефективното блокирането на Skype става наистина само чрез L7(дори и така гадинката успява да се промуши понякога).Ако имаш възможност да промениш мрежата и да инвестираш средства, ти предлагам да заместиш Linux машината с един MikroTik.Има си L7 и лесно ще можеш да правиш гимнастиките, които искаш.

[savago]

Ефективното блокирането на Skype става наистина само чрез L7(дори и така гадинката успява да се промуши понякога).Ако имаш възможност да промениш мрежата и да инвестираш средства, ти предлагам да заместиш Linux машината с един MikroTik.Има си L7 и лесно ще можеш да правиш гимнастиките, които искаш.

И каква ще е рзликата от заместването на  Linux машината с един MikroTik ?.

[arch]

от друга страна служителите работят с определени приложения - инсталирай,конфигурирай и им зашии един потребител който нищо не може да инсталира. ако сложи самостоятелно приложение - такова без да иска инсталция - лисицата май имаше такава опция, админстративно наказание. размер на глоба по усмотрение. следи си трафика и режи.

[romeo_ninov]

от друга страна служителите работят с определени приложения - инсталирай,конфигурирай и им зашии един потребител който нищо не може да инсталира. ако сложи самостоятелно приложение - такова без да иска инсталция - лисицата май имаше такава опция, админстративно наказание. размер на глоба по усмотрение. следи си трафика и режи.

Да, това е начина, но не знам защо много хора си мислят че всеки проблем може да бъде разрешен при наличието на достатъчно мощен хардуер и/или софтуер

[mrowcp]

Дори и да ги отделя в отделен събнет, тези хора трябва да могат да зареждат определени страници.Съответно има ли http или https смисъла се губи.Ще гледам го тествам все пак, но...
Другото което е, да разбирам ли, че никой не е имал зимане даване с ipfw-classifyd ?Единственото решение за L7 филтриране?Ще взема да постна една тема в bsd форума, явно няма начин
Забрани и санкции си има, но нали идеята на администратора е да може да забрани услугата, а не да седи и да дебне и снифи кога някой ползва skype.
Какво да кажа на шефа: не може да се забрани ама мога да седя и да снифя постоянно и като някой го ползва да го накажем?Малко несериозно звучи според мен.
Иначе явно идеята си остава с MS AD и рязане на всичко ( което пък значи, че трябва да прецакам и ползването на флашки, сд-та и т.н. )

[romeo_ninov]

Дори и да ги отделя в отделен събнет, тези хора трябва да могат да зареждат определени страници.Съответно има ли http или https смисъла се губи.Ще гледам го тествам все пак, но...
Другото което е, да разбирам ли, че никой не е имал зимане даване с ipfw-classifyd ?Единственото решение за L7 филтриране?Ще взема да постна една тема в bsd форума, явно няма начин
Забрани и санкции си има, но нали идеята на администратора е да може да забрани услугата, а не да седи и да дебне и снифи кога някой ползва skype.
Какво да кажа на шефа: не може да се забрани ама мога да седя и да снифя постоянно и като някой го ползва да го накажем?Малко несериозно звучи според мен.
Иначе явно идеята си остава с MS AD и рязане на всичко ( което пък значи, че трябва да прецакам и ползването на флашки, сд-та и т.н. )

има начин да се открие много бързо и лесно кой го ползва и след това (примерно) да му се забрани достъпа за деня. Нека се оплаче на шефа

[sstefanov]

...
Иначе явно идеята си остава с MS AD и рязане на всичко ( което пък значи, че трябва да прецакам и ползването на флашки, сд-та и т.н. )

А с MS AD как става?

[mrowcp]

...
Иначе явно идеята си остава с MS AD и рязане на всичко ( което пък значи, че трябва да прецакам и ползването на флашки, сд-та и т.н. )

А с MS AD как става?

Рязане на правза за пускане на skype.exe ( Не че не може да се ренеймне ), рязане права за инсталиране на приложения, достъп до СД, флашки и т.н.
Едва ли не, ползваш това което си е на десктоп-а и нищо повече.

[savago]

Със мач-ване по стринг (при конект сървър или ноде).