Linux за българи: Форуми

Здравейте,
До колкото се запознах с проблема, най-лесно въпросното животно се блокира с L7 филтър.Проблема е, че няма такъва за FreeBSD.Намерих някаква версия на L7 писана за FreeBSD - ipfw-classifyd.Някой ползвал ли е този скрипт и до колко е надежден/работи?

П.С. Принципно има Squid  на сървъра, проблема е, от нивата на достъп на потребителите и съответно няма как шефа да няма http и скайп, а другите налазват през него.
Интересно какво ще стане ако се отделят ПС-тата който трябва да имат интернет и скайп в друг VLAN...

P.S. След като прочетох темата в линукс раздела... тотално се отчаях от идеята  :-[

Щом шефа иска за себе си, но не и за другите да го наложи по административен път, това е най-сигурното решение

Най-лесно си е да направиш листа с ип-тата, които да имат достъп от тези услуги, да им го позволиш във файъруола, а пък другите да ги ограничиш до колкото трябва. Пример за конфигурация на защитна стена под ФрийБСД.

http://www.acme.com/firewall.html

Щом шефа иска за себе си, но не и за другите да го наложи по административен път, това е най-сигурното решение

то е наложено, но някой хора не го спазват :) А няма как да обикалям от ПС на ПС да гледам пускат ли скайп.

Най-лесно си е да направиш листа с ип-тата, които да имат достъп от тези услуги, да им го позволиш във файъруола, а пък другите да ги ограничиш до колкото трябва. Пример за конфигурация на защитна стена под ФрийБСД.

http://www.acme.com/firewall.html

Какво имаш предвид под "листа с ип-тата, които да имат достъп от тези услуги" ?Списък със сайтовете който са позволени да се отварят?Ако е това... ще мине доста време докато ги опиша и постоянно ще трябва да се добавят нови и нови.Идеята по скор беше да се спре самия skype трафик.

Цитат на: romeo_ninov в Apr 25, 2010, 23:58

Щом шефа иска за себе си, но не и за другите да го наложи по административен път, това е най-сигурното решение

то е наложено, но някой хора не го спазват :) А няма как да обикалям от ПС на ПС да гледам пускат ли скайп.

Разбира се че има начин да се разбере, само че предпочитам да не споделям тази информация

В предишната фирма го бяхме направили така - на машините им се раздаваха статични адреси от дхцп-то и адресите на хората, които трябваше да имат по привилигерован достъп бяха с едни правила, а всички останали с други. Можеш също така да си направиш подмрежа за привилигерования достъп и друга за обикновен достъп. По този начин ако някой трябва да му се сменят правата, просто го преместваш в правилната група и това е.
За защитна стена нямахме ние БСД, но принципа е същия.

Ефективното блокирането на Skype става наистина само чрез L7(дори и така гадинката успява да се промуши понякога).Ако имаш възможност да промениш мрежата и да инвестираш средства, ти предлагам да заместиш Linux машината с един MikroTik.Има си L7 и лесно ще можеш да правиш гимнастиките, които искаш.

Ефективното блокирането на Skype става наистина само чрез L7(дори и така гадинката успява да се промуши понякога).Ако имаш възможност да промениш мрежата и да инвестираш средства, ти предлагам да заместиш Linux машината с един MikroTik.Има си L7 и лесно ще можеш да правиш гимнастиките, които искаш.

И каква ще е рзликата от заместването на  Linux машината с един MikroTik ?.

от друга страна служителите работят с определени приложения - инсталирай,конфигурирай и им зашии един потребител който нищо не може да инсталира. ако сложи самостоятелно приложение - такова без да иска инсталция - лисицата май имаше такава опция, админстративно наказание. размер на глоба по усмотрение. следи си трафика и режи.

от друга страна служителите работят с определени приложения - инсталирай,конфигурирай и им зашии един потребител който нищо не може да инсталира. ако сложи самостоятелно приложение - такова без да иска инсталция - лисицата май имаше такава опция, админстративно наказание. размер на глоба по усмотрение. следи си трафика и режи.

Да, това е начина, но не знам защо много хора си мислят че всеки проблем може да бъде разрешен при наличието на достатъчно мощен хардуер и/или софтуер

Дори и да ги отделя в отделен събнет, тези хора трябва да могат да зареждат определени страници.Съответно има ли http или https смисъла се губи.Ще гледам го тествам все пак, но...
Другото което е, да разбирам ли, че никой не е имал зимане даване с ipfw-classifyd ?Единственото решение за L7 филтриране?Ще взема да постна една тема в bsd форума, явно няма начин :)
Забрани и санкции си има, но нали идеята на администратора е да може да забрани услугата, а не да седи и да дебне и снифи кога някой ползва skype.
Какво да кажа на шефа: не може да се забрани ама мога да седя и да снифя постоянно и като някой го ползва да го накажем?Малко несериозно звучи според мен.
Иначе явно идеята си остава с MS AD и рязане на всичко ( което пък значи, че трябва да прецакам и ползването на флашки, сд-та и т.н. )

Дори и да ги отделя в отделен събнет, тези хора трябва да могат да зареждат определени страници.Съответно има ли http или https смисъла се губи.Ще гледам го тествам все пак, но...
Другото което е, да разбирам ли, че никой не е имал зимане даване с ipfw-classifyd ?Единственото решение за L7 филтриране?Ще взема да постна една тема в bsd форума, явно няма начин :)
Забрани и санкции си има, но нали идеята на администратора е да може да забрани услугата, а не да седи и да дебне и снифи кога някой ползва skype.
Какво да кажа на шефа: не може да се забрани ама мога да седя и да снифя постоянно и като някой го ползва да го накажем?Малко несериозно звучи според мен.
Иначе явно идеята си остава с MS AD и рязане на всичко ( което пък значи, че трябва да прецакам и ползването на флашки, сд-та и т.н. )

има начин да се открие много бързо и лесно кой го ползва и след това (примерно) да му се забрани достъпа за деня. Нека се оплаче на шефа

...
Иначе явно идеята си остава с MS AD и рязане на всичко ( което пък значи, че трябва да прецакам и ползването на флашки, сд-та и т.н. )

А с MS AD как става?

Цитат на: mrowcp в Apr 26, 2010, 13:30

...
Иначе явно идеята си остава с MS AD и рязане на всичко ( което пък значи, че трябва да прецакам и ползването на флашки, сд-та и т.н. )

А с MS AD как става?

Рязане на правза за пускане на skype.exe ( Не че не може да се ренеймне :) ), рязане права за инсталиране на приложения, достъп до СД, флашки и т.н.
Едва ли не, ползваш това което си е на десктоп-а и нищо повече.

Със мач-ване по стринг (при конект сървър или ноде).

Със мач-ване по стринг (при конект сървър или ноде).

При криптирана връзка?

Цитат на: savago в Apr 26, 2010, 17:10

Със мач-ване по стринг (при конект сървър или ноде).

При криптирана връзка?

Няма аутх на скаип сървър, няма и конекция.

п.с  Бъркам,не става и така.

абе.. кво става ако блокираш всичкия p2p трафик (skype си е p2p програма) а шефа го зашиеш направо на дмз ?  >:D
горното би станало ако до всеки клиент има отделен кабел - розетка-трасе-умен комутатор.
а какво стана с влана? пак блок на всичкия р2р трафик а на шефа пуснеш?

П.П. кво ше му пускаш бе ! поне да е готин, па той шеф!  >:D

РЕДАКЦИЯ 1 тоз пич ползва IPCOP, описал е метод..
http://www.ipcops.com/phpbb3/viewtopic.php?t=12906&f=7 ($2)
РЕДАКЦИЯ 2 във форума на skype са маса идиоти ;)

Цитат на: mrowcp в Apr 26, 2010, 07:06

Цитат на: romeo_ninov в Apr 25, 2010, 23:58

Щом шефа иска за себе си, но не и за другите да го наложи по административен път, това е най-сигурното решение

то е наложено, но някой хора не го спазват :) А няма как да обикалям от ПС на ПС да гледам пускат ли скайп.

Разбира се че има начин да се разбере, само че предпочитам да не споделям тази информация

Що? SNMP не е тайна на тайните.

Цитат на: romeo_ninov в Apr 26, 2010, 07:17

Цитат на: mrowcp в Apr 26, 2010, 07:06

Цитат на: romeo_ninov в Apr 25, 2010, 23:58

Щом шефа иска за себе си, но не и за другите да го наложи по административен път, това е най-сигурното решение

то е наложено, но някой хора не го спазват :) А няма как да обикалям от ПС на ПС да гледам пускат ли скайп.

Разбира се че има начин да се разбере, само че предпочитам да не споделям тази информация

Що? SNMP не е тайна на тайните.

Не това имах предвид, а начин да се разбере кой си е пуснал скайпа без да се инсталира/пуска нищо на клиентската машина. Просто е, не работи 100% заради някои условности, но за офис е ОК. Но не съм собственик на информацията и поради тази причина не мога да я споделя

Цитат на: dejuren в Apr 30, 2010, 22:20

Цитат на: romeo_ninov в Apr 26, 2010, 07:17

Цитат на: mrowcp в Apr 26, 2010, 07:06

Цитат на: romeo_ninov в Apr 25, 2010, 23:58

Щом шефа иска за себе си, но не и за другите да го наложи по административен път, това е най-сигурното решение

то е наложено, но някой хора не го спазват :) А няма как да обикалям от ПС на ПС да гледам пускат ли скайп.

Разбира се че има начин да се разбере, само че предпочитам да не споделям тази информация

Що? SNMP не е тайна на тайните.

Не това имах предвид, а начин да се разбере кой си е пуснал скайпа без да се инсталира/пуска нищо на клиентската машина. Просто е, не работи 100% заради някои условности, но за офис е ОК. Но не съм собственик на информацията и поради тази причина не мога да я споделя

uPNP е най-лесния и бърз начин за проверка...

Ако Skype намери, че има uPNP съвместим рутер се опитва да си отвори портовете при което бързо може да бъде сгащен още при отварянето на портовете.

Аз пък имам един много лош навик - Директно се базикам с любимата ми директория Doc & Settings.
Схемата е супер проста: Създавам папка с име Skype в %AppData% и задавам "чужди" права за тази симпатична папка. И любимия Skype при опит да се намести в желаната папка - резултата е  fail...

Така даже може да се режат само дадени Skype акаунти - влизате в %AppData%\Skype -> username папката на нежелания потребител и й се "отнемат правата за писане/четене". След това милия Skype почва да квичи със странни грешки(и никога не се свързва за дадения потребител :P) :)  (В същотото време ако шефа седне на въпросния кошник - ще може да си влезе без проблем :D)
Принципно за тия неща се разбирам предварително с клиентите и още като обикалям отначалото си нося необходимия batch файл - c две-три промени го нагласям за конкретните нужди. И ми остава да го накликам по предназначени, където е "наредено".

Това е от мен - надявам се да му е полезно на някого, ако не друго, поне спестява едно-две правила за филтрация :D

Малко бях позабравил темата, но ще драсна и аз няколко реда, може да са в полза на някой.
Ето до какви изводи стигнах след тестове:

Skypa се ограничава без проблем с процедурата описана тук ($2) Накратко:

squid + добавка в конфига на:

acl numeric_IPs urlpath_regex ^[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+
acl connect method CONNECT

http_access deny connect numeric_IPs all

acl Skype_UA browser Skype
http_access deny Skype_UA


При което дори и да се зададат настройки на IE да ползва проксито и то да е с админ акаунт ( в конфига на squid-a е зададено http_access allow Administrator all ), skype пак не минава.
Начина да се разреши skype е да се зададе правило в ipfw:

ipfw add 10 allow all from 192.168.1.2 to any
ipfw add 11 allow all from any to 192.168.1.2

192.168.1.2 e PC-то на което искаме да има skype.

ipfw add 10 allow all from 192.168.1.2 to any
ipfw add 11 allow all from any to 192.168.1.2

192.168.1.2 e PC-то на което искаме да има skype.

И знаеш ли какво става ако някой в локалната мрежа има разрешение да сипусне скайп и си го пусне. След това всеки друг ползва първия за релей даже и да не може директно да излиза!! Т.е. решението е никакво

А аз само да попитам Mrowcp, понеже споменаваш - "...дори и да се зададат настройки на IE да ползва проксито и то да е с админ акаунт...", най-вероятно говориш за Windows скайп клиент. А тествал ли си с Линукски клиент ? Дали той минава през рестрикциите, или е филтриран като Уиндовския скайп ?

А аз само да попитам Mrowcp, понеже споменаваш - "...дори и да се зададат настройки на IE да ползва проксито и то да е с админ акаунт...", най-вероятно говориш за Windows скайп клиент. А тествал ли си с Линукски клиент ? Дали той минава през рестрикциите, или е филтриран като Уиндовския скайп ?

Ачо, какво значение има дали е windows-кия или linux-ския скайп. Протокола си е един и същ!

Верно, така си е. Ама ми стана интересно, мама му стара. И трябва да видя как ще са iptables правилата в Linux, вместо с ipfw на BSD-то.

Верно, така си е. Ама ми стана интересно, мама му стара. И трябва да видя как ще са iptables правилата в Linux, вместо с ipfw на BSD-то.

Аре остави ги да дишат де :D :D :D :D :D.

romeo_ninov е прав само да надуши "дупчица" гада и няма спиране. Както съм писал и по горе ефектвно до сега го спирам само с MikroTik.

Значи... когато бях в OAE нямаше Skype. Но ме светнаха че ако дойда със Skype от БГ и оставя машината включена за ден и по някое време се вързвала. Първо не повярах че са го спряли изцяло, но потърпях и наистина се върза.

Дочух че цялото това решение им е излязло милиони долари които без проблем дали. Там интернет и телефонен доставчик е една фирма - Etisalat. И ако тук говорим за монопол, там има комунизъм.

Тия етиасат не бяха ли онези цигани дето смърдяха за криптирането в блекберитата, заплашваха RIM, инсталираха "ъпдейт"-spyware на потребителите си и най-накрая забраниха блекберитата в цялата държава щото били заплаха за националната сигурност?

Май същите олигофрени...

Тоооочно те са... всъщност там залива е една мамма мия. Бегай по-далеч оттам ако можеш...

То това тяхното си беше чист корпоративен интерес - искат да довършат малкото останало от тая и без това прецакана компания...

Иначе сериозно - досега никога не съм имал проблем с моя начин :) Ако ще и задника да си скъса няма да може да подкара Скайпа - просто си пиши(даже не казва че пищи за папката ами за някаква база данни и т.н.) и това е :)

Единствения начин е Админ достъп и да смени правата на папката...

Цитат на: mrowcp в Sep 12, 2010, 09:54

ipfw add 10 allow all from 192.168.1.2 to any
ipfw add 11 allow all from any to 192.168.1.2

192.168.1.2 e PC-то на което искаме да има skype.

И знаеш ли какво става ако някой в локалната мрежа има разрешение да сипусне скайп и си го пусне. След това всеки друг ползва първия за релей даже и да не може директно да излиза!! Т.е. решението е никакво

Току що тествах и skype не се връзва, друг е въпроса до кога :) Ще го помъча извесно време ( има ли някъде опция за постоянен рекънект, защото не ми се седи да цъкам постоянно/ ).

Ето още какво тествах:
От Tools - Connection options има възможност да се зададе порт за входяща свързаност.Зададох порта на проксито, без да описвам долу ИП и парола.Резултата беше същия.Имам и отметка за ползване на порт 80 и 443 като алтернативни.С махната отметка също не се кънектва.
Взех порта от ПС-то на което е пуснат skype и свързан и пробвах с него и на другото ПС ( да го ползва като тунел ), но пак не се свърза.
Описах горе рандом порт, избрах си вида на проксито - https, попълник хост, порт, име и парола, но не на юзър с админски права, а на такъв ограничен до отварянето на няколко сайта -  връзка няма.
С админски юзър на автоматично засичане на прокси - връзка няма.
С админски юзър на ръчно избрано https прокси - връзка няма.
Всички тестове са направени при пуснат скайп на съседно ПС.Двете ПС-та са на един суйтч и в една мрежа.
На ПС-то със свързан скайп ветсията е 4.2.0.158 - интересно има UPnP, а на това което не се свързва е с 4.2.0.169 и няма UPnP като опция за ползване ( няма го полето за слагане на отметка ).
До колкото четох в сайта на skype UPnP го препоръчват при ползването на NAT, но бил кофти протокол който няма автентикация и има голяма вероятност някой "кон" да го налази да го ползва.

Разбира се накрая добавих в ipfw правила за достъп на тестваното ПС и скайп се върза на секундата.

А аз само да попитам Mrowcp, понеже споменаваш - "...дори и да се зададат настройки на IE да ползва проксито и то да е с админ акаунт...", най-вероятно говориш за Windows скайп клиент. А тествал ли си с Линукски клиент ? Дали той минава през рестрикциите, или е филтриран като Уиндовския скайп ?

както каза колегата, не би трябвало да има значение.

Ако някой се сеща нещо друго да казва.

Тия етиасат не бяха ли онези цигани дето смърдяха за криптирането в блекберитата, заплашваха RIM, инсталираха "ъпдейт"-spyware на потребителите си и най-накрая забраниха блекберитата в цялата държава щото били заплаха за националната сигурност?

Май същите олигофрени...

Една интересна статия за тази компания:
http://www.schneier.com/blog/archives/2010/09/uae_man-in-the-.html

Малко бях позабравил темата, но ще драсна и аз няколко реда, може да са в полза на някой.
Ето до какви изводи стигнах след тестове:

Skypa се ограничава без проблем с процедурата описана тук ($2) Накратко:

squid + добавка в конфига на:

acl numeric_IPs urlpath_regex ^[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+
acl connect method CONNECT

http_access deny connect numeric_IPs all

acl Skype_UA browser Skype
http_access deny Skype_UA


При което дори и да се зададат настройки на IE да ползва проксито и то да е с админ акаунт ( в конфига на squid-a е зададено http_access allow Administrator all ), skype пак не минава.
Начина да се разреши skype е да се зададе правило в ipfw:

ipfw add 10 allow all from 192.168.1.2 to any
ipfw add 11 allow all from any to 192.168.1.2

192.168.1.2 e PC-то на което искаме да има skype.

и счетоводителката как ще изреве на това  http://212.122.164.41/eservices/instructions