Forum Debian Users Gang

TBH · 2008-06-30 12:02:50

No cóż, zajmuję się zarządzaniem serwerem udostępniającym net dla pewnej instytucji, i ostatnio pojawiła się zmora.

Nasza-klasa

w ciągu 1 dnia w logach ponad 1000 odświerzeń strony....
no więc dostałem polecenie zablokowania tego serwisu.

no i zrobiłem to tak:

#!/bin/sh
echo "1" > /proc/sys/net/ipv4/ip_forward

ifconfig eth2 192.168.1.1 up
/etc/init.d/dhcp start
iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE
iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT

# 195.93.178.6 blokowanie naszej klasy

/sbin/iptables -t nat -A PREROUTING -d 195.93.178.6 -p tcp -j DROP

Dobrze?

guzzi · 2008-06-30 12:28:12

ja jak chcę zablokować na bank jakąś stronę piszę

route add -host nasa-klasa.pl reject

i zablokowane.
Domena może miec kilka adresów IP i trzeba wszystkie zabkolować

Ostatnio edytowany przez guzzi (2008-06-30 12:30:02)

liare · 2008-06-30 12:35:24

Powinno działac. ;-)

Od siebie mogę dodać, że popularność i i silna potrzeba korzystania z tego serwisu spowodowała, że userzy masowo zaczęli sie interesować wszelkimi tunelami http. stron tego typu jest mnóstwo. Także nie wiem, jak u Ciebie ale u mnie samo blokowanie na tabelkach to za mało.
Trzeba było troche dodać regułek do dansguardiana.
Dadatkowo jest jeszcze efekt psychologiczny, czyli jakieś info o blokowaniu serwisu, no i kara w w postaci odciecia inetu na jakiś czas.

liare · 2008-06-30 12:37:12

guzzi napisał(-a):
ja jak chcę zablokować na bank jakąś stronę piszę

route add -host nasa-klasa.pl reject

i zablokowane.
Domena może miec kilka adresów IP i trzeba wszystkie zabkolować

No to fajnie by u mnie routing wyglądał. ;-) jest tyle stron co blokuje......;->

bercik · 2008-06-30 13:31:24

ja jakbym juz mial to blokowac to w lancuchu FORWARD (reguly blokujace przed regula akceptujaca) i na cala ich klase adresowa 195.93.178.0/23 (ogolnie jestem sceptycznie natawiony do blokad ...)

Ostatnio edytowany przez bercik (2008-06-30 13:32:05)

guzzi · 2008-06-30 13:49:50

liare napisał(-a):
guzzi napisał(-a):
ja jak chcę zablokować na bank jakąś stronę piszę

route add -host nasa-klasa.pl reject

i zablokowane.
Domena może miec kilka adresów IP i trzeba wszystkie zabkolować
No to fajnie by u mnie routing wyglądał. ;-) jest tyle stron co blokuje......;->

Ale działa i to w 99.99% :)

TBH · 2008-06-30 15:12:38

oni nie są na tyle kumaci żeby tunelować ruch, albo proxy https :P

a pracodawca doskonale wie, kto gdzie i kiedy, zostalem zobowiązany do okazania logów ;]

spróbuję route :)

TBH · 2008-06-30 17:03:53

Działa, poserfowali :)

dziękuję bardzo chłopaki! :D

liare · 2008-06-30 17:16:44

TBH napisał(-a):
oni nie są na tyle kumaci żeby tunelować ruch, albo proxy https :P

a pracodawca doskonale wie, kto gdzie i kiedy, zostalem zobowiązany do okazania logów ;]

spróbuję route :)

Najgorzej to niedoceniać przeciwnika. ;-)

Nie trzeba byc szczególnie kumaty aby skorzystać ze strony np: http://www.bypassthat.com/
Nie trzeba nic wiedziec na ten temat, wystarczy, że ktoś to roześle pocztą po znajomych z adnotacją, że mozna w tej sposób wejść za zabroniona strone.

Masz szczęście, ze pracodawca żąda logów. U mnie niestety tego nie ma.

misiodab · 2008-07-18 09:48:02

Ja miałem tą samą zmorę (naszą-klasę) a co gorsza że nie tylko bo jeszcze pudelki i plotki to zrobiłem inaczej :) postawiłem squida i tam po blokowałem mam pliczek tekstowy raz na 3 dni robię analizę i doklepuję nowe stronki a jak ktoś wchodzi na stronę "zakazaną" to dostaje komunikat że nazywasz sie tak i tak i twoja próba odwiedzin strony w godzinach pracy została zapisana w bazie danych. Po 2 tygodniach pracownicy zaczęli pracować :P

davidoski · 2008-07-18 09:53:49

Wasze firmy są bardzo liberalne.
U mnie w firmie polityka jest odwrotna - nie blokuje się zakazanych stron tylko blokuje wszystkie z wyjątkiem dozwolonych.

misiodab · 2008-07-18 10:00:08

W sumie też dobry pomysł pomyśle o takim rozwiązaniu :)

NIC · 2008-07-18 10:15:32

Hmmm... A bramka www nie jest rozwiązaniem na wszelkie bloki? Sporo takich bramek jest:
Np.
http://www.surfthru.net

liare · 2008-07-18 11:16:25

NIC napisał(-a):
Hmmm... A bramka www nie jest rozwiązaniem na wszelkie bloki? Sporo takich bramek jest:
Np.
http://www.surfthru.net

4 posty wyżej pisałem na ten temat. ;->

Rozwiązaniem jak dla mnie jest dansguardian lub podobne filtrowanie na podstawie zawartości stron.

Ostatnio edytowany przez liare (2008-07-18 11:17:41)

TBH · 2008-07-18 11:37:27

filtrowanie na podstawie zawartości stron może być do obejścia używając proxy https lub tunelu po ssh.

liare · 2008-07-18 11:42:59

TBH napisał(-a):
filtrowanie na podstawie zawartości stron może być do obejścia używając proxy https lub tunelu po ssh.

owszem, ale trzeba jeszcze mieć możliwość wyjścia na port ssh.
https jest wypuszczony, ale monitorowany, więc w przypadku podejrzanego ruchu na tym porcie z danego pc, biorę go pod obserwację dokładniejszą i prędzej czy później wyczaję gościa. ;-) a wtedy to tylko intranet mu zostaje. Po 2 tygodniach sam przyjdzie przepraszać. ;->

Nie ma metody doskonałej, wiadomo.

Luc3k · 2009-10-19 14:10:09

guzzi napisał(-a):
route add -host nasa-klasa.pl reject

A jaka była by składnia gdybym chciał zablokować tylko jednemu użytkownikowi w sieci?

PS. jak potem usunąć taką blokadę?

Ostatnio edytowany przez Luc3k (2009-10-19 14:12:58)

guzzi · 2009-10-19 14:55:30

logicznie route del

marg1 · 2009-10-19 15:44:19

Jak można często jedyną rozrywkę w nudnej biurowej robocie ludziom odbierać - wiem jak to jest, pracowałem w firmie, gdzie jedyną dostępną stroną była strona tej właśnie firmy + poczta korporacyjna - strasznie cieżko przetrwać tak dzień :)

kamikaze · 2009-10-20 08:58:36

Polecam ssh -D na takie problemy, tylko trzeba mieć jakieś konto shellowe.

ippo76 · 2009-10-20 11:56:26

kamikaze napisał(-a):
Polecam ssh -D na takie problemy, tylko trzeba mieć jakieś konto shellowe.

Możesz jakieś polecić?

kamikaze · 2009-10-20 12:24:44

ippo76 napisał(-a):
kamikaze napisał(-a):
Polecam ssh -D na takie problemy, tylko trzeba mieć jakieś konto shellowe.
Możesz jakieś polecić?

Moge polecić dug-owe.

ippo76 · 2009-10-20 12:26:14

Ja dostałem odpowiedź, że w dugowym tunelowania niet :)

kamikaze · 2009-10-20 13:22:08

ippo76 napisał(-a):
Ja dostałem odpowiedź, że w dugowym tunelowania niet :)

tunelowania może i niet, ale to nie jest unelowanie.

ippo76 · 2009-10-20 13:34:23

A ja chciałem tunelować, bo w nosie mam NK, ale chciałem wejść do swoich kompów za NAT - właściwie to takie konto by mnie interesowało :)

Forum Debian Users Gang

Ogłoszenie

#1 2008-06-30 12:02:50

TBH - Członek DUG

Nasza-klasa, tylko nie w pracy :/

#2 2008-06-30 12:28:12

guzzi - Członek DUG

Re: Nasza-klasa, tylko nie w pracy :/

#3 2008-06-30 12:35:24

liare - Użytkownik

Re: Nasza-klasa, tylko nie w pracy :/

#4 2008-06-30 12:37:12

liare - Użytkownik

Re: Nasza-klasa, tylko nie w pracy :/

guzzi napisał(-a):

#5 2008-06-30 13:31:24

bercik - Moderator Mamut

Re: Nasza-klasa, tylko nie w pracy :/

#6 2008-06-30 13:49:50

guzzi - Członek DUG

Re: Nasza-klasa, tylko nie w pracy :/

liare napisał(-a):

guzzi napisał(-a):

#7 2008-06-30 15:12:38

TBH - Członek DUG

Re: Nasza-klasa, tylko nie w pracy :/

#8 2008-06-30 17:03:53

TBH - Członek DUG

Re: Nasza-klasa, tylko nie w pracy :/

#9 2008-06-30 17:16:44

liare - Użytkownik

Re: Nasza-klasa, tylko nie w pracy :/

TBH napisał(-a):

#10 2008-07-18 09:48:02

misiodab - Użytkownik

Re: Nasza-klasa, tylko nie w pracy :/

#11 2008-07-18 09:53:49

davidoski - Użytkownik

Re: Nasza-klasa, tylko nie w pracy :/

#12 2008-07-18 10:00:08

misiodab - Użytkownik

Re: Nasza-klasa, tylko nie w pracy :/

#13 2008-07-18 10:15:32

NIC - Członek DUG

Re: Nasza-klasa, tylko nie w pracy :/

#14 2008-07-18 11:16:25

liare - Użytkownik

Re: Nasza-klasa, tylko nie w pracy :/

NIC napisał(-a):

#15 2008-07-18 11:37:27

TBH - Członek DUG

Re: Nasza-klasa, tylko nie w pracy :/

#16 2008-07-18 11:42:59

liare - Użytkownik

Re: Nasza-klasa, tylko nie w pracy :/

TBH napisał(-a):

#17 2009-10-19 14:10:09

Luc3k - Użytkownik

Re: Nasza-klasa, tylko nie w pracy :/

guzzi napisał(-a):

#18 2009-10-19 14:55:30

guzzi - Członek DUG

Re: Nasza-klasa, tylko nie w pracy :/

#19 2009-10-19 15:44:19

marg1 - Gentoowy Głupek

Re: Nasza-klasa, tylko nie w pracy :/

#20 2009-10-20 08:58:36

kamikaze - Administrator

Re: Nasza-klasa, tylko nie w pracy :/

#21 2009-10-20 11:56:26

ippo76 - fakam fszycho

Re: Nasza-klasa, tylko nie w pracy :/

kamikaze napisał(-a):

#22 2009-10-20 12:24:44

kamikaze - Administrator

Re: Nasza-klasa, tylko nie w pracy :/

ippo76 napisał(-a):

kamikaze napisał(-a):

#23 2009-10-20 12:26:14

ippo76 - fakam fszycho