Главная страница
    Top.Mail.Ru    Яндекс.Метрика
Форум: "Потрепаться";
Текущий архив: 2004.02.10;
Скачать: [xml.tar.bz2];

Вниз

Файрволл на обе стороны ?   Найти похожие ветки 

 
Yuri Btr   (2004-01-20 21:12) [0]

Как известно многие известные файрволлы защищают сетку от проникновения извне, но как можно закрыть исходящий траффик из сетки (также с компьютера где стоит файрволл). Есть идеи?
Простая фильтрация TCPIP вроде не помогает.
В общем нужно запретить исходящее с машины соединение например на порт 80 (чтобы пользователь не смог юзать броузеры)
Заранее спасибо


 
panov   (2004-01-20 21:22) [1]

странно, у меня WinGate в любую сторону все, что угодно прикрывает...


 
Yuri Btr   (2004-01-20 21:33) [2]

Т.е. Вы хотите сказать что если пользователь обратится с машины, на которой стоит WinGate к 80 порту любого хоста во внешней сети например телнетом, то WinGate закроет доступ для этого приложения ?


 
panov   (2004-01-20 21:42) [3]

>Yuri Btr © (20.01.04 21:33) [2]
Т.е. Вы хотите сказать что если пользователь обратится с машины, на которой стоит WinGate к 80 порту любого хоста во внешней сети например телнетом, то WinGate закроет доступ для этого приложения ?

Конечно - без проблем.


 
Nikolay M.   (2004-01-20 21:50) [4]


> В общем нужно запретить исходящее с машины соединение например
> на порт 80 (чтобы пользователь не смог юзать броузеры)

При таком уровне вопросов, имхо, даже не стоит браться за такую задачу - обойдут за 10 секунд. Самое надежное - это вообще обрубить интернет физически, все равно кому он на хрен такой нужен, без НТТР?


 
Yuri Btr   (2004-01-20 22:03) [5]

to Nikolay M. ©
>При таком уровне вопросов
При таком уровне ответов
>все равно кому он на хрен такой нужен, без НТТР
не понимаю зачем отвечать
Ещё есть почта например и т.д и т.п Мне нужно запретить соединение с удалённым портом номер 80.


 
Nikolay M.   (2004-01-20 22:13) [6]


> Yuri Btr © (20.01.04 22:03) [5]
> to Nikolay M. ©
> >При таком уровне вопросов
> При таком уровне ответов

Не обижайся. Просто задача на самом деле далеко нетривиальная, простым закрытием 80 порта ты не обойдешься. А когда приравнивают "закрытие порта 80" к "пользователь не мог юзать броузеры" остается только развести руками. Защиту от дурака поставить можно, но кому нужно тот - обойдет.


> Ещё есть почта например и т.д и т.п

На здоровье. Внутренний почтовый сервер: MS Exchange+Outlook, Lotus Notes или любой другой.


 
Yuri Btr   (2004-01-20 22:26) [7]

to Nikolay M. ©
Я и не обижаюсь
всё дело в том я сам не люблю когда используют такие термины, но когда тороплюсь то выскакивает.
Теперь объясняю дальше я нигде не употреблял "закрытие порта 80"
только "закрытие доступа" для приложения путём уничтожения сокета приложения пытающегося соединиться с удалённым хостом на порту 80. Локальный порт приложения естественно может быть другим.
"пользователь не мог юзать броузеры" -
"юзать" - use, использовать (англ.)
"броузер" - browser, программа просмотра (англ.)


 
Nikolay M.   (2004-01-20 22:52) [8]

Имхо, НТТРS-прокси с авторизованным доступом будет вполне достаточно.
А вообще, за грамотными решениями лучше идти на http://www.opennet.ru/ и ему подобные, но никак не на полудельфевый-полутрёпный форум :)


 
Yuri Btr   (2004-01-20 23:05) [9]

to Nikolay M. ©
За ссылку спасибо...
А вы случайно не мастер Дельфи, что так судите о форуме?


 
Alex Konshin   (2004-01-20 23:14) [10]

А если я пойду на некий чужой прокси, который сидит не на 80 порту и через него буду смотреть все, что угодно?
Для этого достаточно просто вписать этот прокси в настройки броузера и никакой 80 порт нигде фигурировать не будет.
Как ты с этим собираешься бороться?

Правильный лозунг для системного администратора: "то, что не разрешено - запрешено". Исходя из этого и надо действовать.
Большинство людей думает, что файервол предоставляет доступ, на самом деле он его запрещает, причем совсем. Другое дело, что когда ты ставишь "файервол", то устанавливается прокси (а то и не один), который, собственно, и предоставляет доступ. И чтобы был файервол, не обязательно его "ставить". Например, если на твоем компьютере две сетевые карты и нет маршрутизации между ними(это тоже можно рассматривать как прокси), то у тебя автоматически есть файервол.
Теперь тебе должно быть понятно, что тебе нужно сделать:
- "установить файервол" и запретить все;
- разрешить только то, что хочешь разрешить.

Я догадываюсь, что тебе нужно запретить выход из локальной сети.
То есть, у тебя где-то есть компьютер, на котором два интерфейса: локальный и внешний. Запрети маршрутизацию. Таким образом, у тебя уже есть файервол. Теперь тебе осталось только установить какой-нибудь прокси. Вот в нем и установи то, чего тебе надо и контролируй то, чего тебе надо.

Надеюсь, теперь более понятно, что тебе нужно?


 
Nikolay M.   (2004-01-21 00:05) [11]

Ну вот, только собрался после душа написать еще чего-нибудь полезного, а АК уже все сказал, что накопилось в душЕ (дУше?) за это время :)


> случайно не мастер Дельфи, что так судите о форуме?

Нет. Просто я почти постоянно смотрю Базы и Потрепаться. За последнее время (год, может быть) интересные вопросы из Баз почти пропали, а в Потрепаться, наоборот, можно найти что-то живенькое :)
Это сугубо мое имхо, конечно. Но по сравнению с тем же MS SQL на sql.ru: там скил отвечающих в среднем намного выше. По крайней мере вопросов вроде "как отсортировать строки в БД" там я не припомню. Конечно, у Romkin, polevi, sniknik, Johnmen, ЮЮ, Reinder moss eater (кого навскидку вспомнил) ответы всегда на высоте, но сам уровень вопросов (и их частота), имхо, снизился. А вот в потрепаться - как раз все наоборот :)


 
Holy   (2004-01-21 08:42) [12]

Поставь OutPost, явно разреши доступ по определенным адресам определенным приложениям и переведи его в режим блокировки и наступит тебе счастье... Все явно не разрешенные соединения будут погашены.


 
pasha_golub   (2004-01-21 09:43) [13]

Как известно многие известные файрволлы защищают сетку от проникновения извне

Файрвол отсеивает или пропускает пакеты по неким правилам, установленным администратором. Файрвол не понимает (в отличии от админа :-) где внешняя сеть, а где внутренняя. Можно сделать все что угодно, начиная с фильтрации по портам, заканчивая фильтрацией по содержимому пакетов. Принципы одинаковы для всех. Так что научившись фильтровать паекты в Виндоусе (на том же WinGate, хотя я предпочитаю WinRoute), можно будет настроить фильтрацию на любой другой ОСи. Вот, в Линуксе, например, фильтрация пакетов встроена в ядро ОС (iptables или устаревшее ipchains).

www.opennet.ru - хороший для этого ресурс.



Страницы: 1 вся ветка

Форум: "Потрепаться";
Текущий архив: 2004.02.10;
Скачать: [xml.tar.bz2];

Наверх




Память: 0.49 MB
Время: 0.008 c
7-29642
Mr.Nobody
2003-11-25 22:17
2004.02.10
Чтение из com-порта...


1-29403
Islander
2004-02-01 00:09
2004.02.10
Как проверить свернуто ли приложение или нет?


1-29454
AlexeyITN
2004-01-29 18:29
2004.02.10
Очень стыдно задавать такое о Combobox-e


14-29562
DeMoN-777
2004-01-20 22:45
2004.02.10
WinXP Pro$Home


7-29634
serega_sss
2003-11-24 01:27
2004.02.10
ИРПС





Afrikaans Albanian Arabic Armenian Azerbaijani Basque Belarusian Bulgarian Catalan Chinese (Simplified) Chinese (Traditional) Croatian Czech Danish Dutch English Estonian Filipino Finnish French
Galician Georgian German Greek Haitian Creole Hebrew Hindi Hungarian Icelandic Indonesian Irish Italian Japanese Korean Latvian Lithuanian Macedonian Malay Maltese Norwegian
Persian Polish Portuguese Romanian Russian Serbian Slovak Slovenian Spanish Swahili Swedish Thai Turkish Ukrainian Urdu Vietnamese Welsh Yiddish Bengali Bosnian
Cebuano Esperanto Gujarati Hausa Hmong Igbo Javanese Kannada Khmer Lao Latin Maori Marathi Mongolian Nepali Punjabi Somali Tamil Telugu Yoruba
Zulu
Английский Французский Немецкий Итальянский Португальский Русский Испанский