Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
No cóż, zajmuję się zarządzaniem serwerem udostępniającym net dla pewnej instytucji, i ostatnio pojawiła się zmora.
Nasza-klasa
w ciągu 1 dnia w logach ponad 1000 odświerzeń strony....
no więc dostałem polecenie zablokowania tego serwisu.
no i zrobiłem to tak:
#!/bin/sh
echo "1" > /proc/sys/net/ipv4/ip_forward
ifconfig eth2 192.168.1.1 up
/etc/init.d/dhcp start
iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE
iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT
# 195.93.178.6 blokowanie naszej klasy
/sbin/iptables -t nat -A PREROUTING -d 195.93.178.6 -p tcp -j DROP
Dobrze?
Offline
ja jak chcę zablokować na bank jakąś stronę piszę
route add -host nasa-klasa.pl reject
i zablokowane.
Domena może miec kilka adresów IP i trzeba wszystkie zabkolować
Ostatnio edytowany przez guzzi (2008-06-30 12:30:02)
Offline
Powinno działac. ;-)
Od siebie mogę dodać, że popularność i i silna potrzeba korzystania z tego serwisu spowodowała, że userzy masowo zaczęli sie interesować wszelkimi tunelami http. stron tego typu jest mnóstwo. Także nie wiem, jak u Ciebie ale u mnie samo blokowanie na tabelkach to za mało.
Trzeba było troche dodać regułek do dansguardiana.
Dadatkowo jest jeszcze efekt psychologiczny, czyli jakieś info o blokowaniu serwisu, no i kara w w postaci odciecia inetu na jakiś czas.
Offline
[quote=guzzi]ja jak chcę zablokować na bank jakąś stronę piszę
route add -host nasa-klasa.pl reject
i zablokowane.
Domena może miec kilka adresów IP i trzeba wszystkie zabkolować[/quote]
No to fajnie by u mnie routing wyglądał. ;-) jest tyle stron co blokuje......;->
Offline
ja jakbym juz mial to blokowac to w lancuchu FORWARD (reguly blokujace przed regula akceptujaca) i na cala ich klase adresowa 195.93.178.0/23 (ogolnie jestem sceptycznie natawiony do blokad ...)
Ostatnio edytowany przez bercik (2008-06-30 13:32:05)
Offline
[quote=liare][quote=guzzi]ja jak chcę zablokować na bank jakąś stronę piszę
route add -host nasa-klasa.pl reject
i zablokowane.
Domena może miec kilka adresów IP i trzeba wszystkie zabkolować[/quote]
No to fajnie by u mnie routing wyglądał. ;-) jest tyle stron co blokuje......;->[/quote]
Ale działa i to w 99.99% :)
Offline
oni nie są na tyle kumaci żeby tunelować ruch, albo proxy https :P
a pracodawca doskonale wie, kto gdzie i kiedy, zostalem zobowiązany do okazania logów ;]
spróbuję route :)
Offline
[quote=TBH]oni nie są na tyle kumaci żeby tunelować ruch, albo proxy https :P
a pracodawca doskonale wie, kto gdzie i kiedy, zostalem zobowiązany do okazania logów ;]
spróbuję route :)[/quote]
Najgorzej to niedoceniać przeciwnika. ;-)
Nie trzeba byc szczególnie kumaty aby skorzystać ze strony np: http://www.bypassthat.com/
Nie trzeba nic wiedziec na ten temat, wystarczy, że ktoś to roześle pocztą po znajomych z adnotacją, że mozna w tej sposób wejść za zabroniona strone.
Masz szczęście, ze pracodawca żąda logów. U mnie niestety tego nie ma.
Offline
Ja miałem tą samą zmorę (naszą-klasę) a co gorsza że nie tylko bo jeszcze pudelki i plotki to zrobiłem inaczej :) postawiłem squida i tam po blokowałem mam pliczek tekstowy raz na 3 dni robię analizę i doklepuję nowe stronki a jak ktoś wchodzi na stronę "zakazaną" to dostaje komunikat że nazywasz sie tak i tak i twoja próba odwiedzin strony w godzinach pracy została zapisana w bazie danych. Po 2 tygodniach pracownicy zaczęli pracować :P
Offline
Wasze firmy są bardzo liberalne.
U mnie w firmie polityka jest odwrotna - nie blokuje się zakazanych stron tylko blokuje wszystkie z wyjątkiem dozwolonych.
Offline
W sumie też dobry pomysł pomyśle o takim rozwiązaniu :)
Offline
Hmmm... A bramka www nie jest rozwiązaniem na wszelkie bloki? Sporo takich bramek jest:
Np.
http://www.surfthru.net
Offline
[quote=NIC]Hmmm... A bramka www nie jest rozwiązaniem na wszelkie bloki? Sporo takich bramek jest:
Np.
http://www.surfthru.net[/quote]
4 posty wyżej pisałem na ten temat. ;->
Rozwiązaniem jak dla mnie jest dansguardian lub podobne filtrowanie na podstawie zawartości stron.
Ostatnio edytowany przez liare (2008-07-18 11:17:41)
Offline
filtrowanie na podstawie zawartości stron może być do obejścia używając proxy https lub tunelu po ssh.
Offline
[quote=TBH]filtrowanie na podstawie zawartości stron może być do obejścia używając proxy https lub tunelu po ssh.[/quote]
owszem, ale trzeba jeszcze mieć możliwość wyjścia na port ssh.
https jest wypuszczony, ale monitorowany, więc w przypadku podejrzanego ruchu na tym porcie z danego pc, biorę go pod obserwację dokładniejszą i prędzej czy później wyczaję gościa. ;-) a wtedy to tylko intranet mu zostaje. Po 2 tygodniach sam przyjdzie przepraszać. ;->
Nie ma metody doskonałej, wiadomo.
Offline
[quote=guzzi]route add -host nasa-klasa.pl reject[/quote]
A jaka była by składnia gdybym chciał zablokować tylko jednemu użytkownikowi w sieci?
PS. jak potem usunąć taką blokadę?
Ostatnio edytowany przez Luc3k (2009-10-19 14:12:58)
Offline
logicznie route del
Offline
Jak można często jedyną rozrywkę w nudnej biurowej robocie ludziom odbierać - wiem jak to jest, pracowałem w firmie, gdzie jedyną dostępną stroną była strona tej właśnie firmy + poczta korporacyjna - strasznie cieżko przetrwać tak dzień :)
Offline
Polecam ssh -D na takie problemy, tylko trzeba mieć jakieś konto shellowe.
Offline
[quote=kamikaze]Polecam ssh -D na takie problemy, tylko trzeba mieć jakieś konto shellowe.[/quote]
Możesz jakieś polecić?
Offline
[quote=ippo76][quote=kamikaze]Polecam ssh -D na takie problemy, tylko trzeba mieć jakieś konto shellowe.[/quote]
Możesz jakieś polecić?[/quote]
Moge polecić dug-owe.
Offline
[quote=ippo76]Ja dostałem odpowiedź, że w dugowym tunelowania niet :)[/quote]
tunelowania może i niet, ale to nie jest unelowanie.
Offline
A ja chciałem tunelować, bo w nosie mam NK, ale chciałem wejść do swoich kompów za NAT - właściwie to takie konto by mnie interesowało :)
Offline
Time (s) | Query |
---|---|
0.00013 | SET CHARSET latin2 |
0.00005 | SET NAMES latin2 |
0.00136 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.145.57.41' WHERE u.id=1 |
0.00068 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.145.57.41', 1732551533) |
0.00056 | SELECT * FROM punbb_online WHERE logged<1732551233 |
0.00043 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=11767 AND t.moved_to IS NULL |
0.00005 | SELECT search_for, replace_with FROM punbb_censoring |
0.00277 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=11767 ORDER BY p.id LIMIT 0,25 |
0.00115 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=11767 |
Total query time: 0.00718 s |