Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2008-06-30 12:02:50
TBH - 
Członek DUG
Nasza-klasa, tylko nie w pracy :/
No cóż, zajmuję się zarządzaniem serwerem udostępniającym net dla pewnej instytucji, i ostatnio pojawiła się zmora.
Nasza-klasa
w ciągu 1 dnia w logach ponad 1000 odświerzeń strony....
no więc dostałem polecenie zablokowania tego serwisu.
no i zrobiłem to tak:
#!/bin/sh
echo "1" > /proc/sys/net/ipv4/ip_forward
ifconfig eth2 192.168.1.1 up
/etc/init.d/dhcp start
iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE
iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT
# 195.93.178.6 blokowanie naszej klasy
/sbin/iptables -t nat -A PREROUTING -d 195.93.178.6 -p tcp -j DROP
Dobrze?
http://tbhthelolmaker.wordpress.com/kontakt/
<TBH> Gentoo!
<X-dos> cóz, sa ludzie ktorzy nie wiedza co robic ze swoim wolnym czasem :)
Offline
#2 2008-06-30 12:28:12
guzzi - Członek DUG
- guzzi
- Członek DUG
- Skąd: Asteroida Linux
- Zarejestrowany: 2005-03-31
Re: Nasza-klasa, tylko nie w pracy :/
ja jak chcę zablokować na bank jakąś stronę piszę
route add -host nasa-klasa.pl reject
i zablokowane.
Domena może miec kilka adresów IP i trzeba wszystkie zabkolować
Ostatnio edytowany przez guzzi (2008-06-30 12:30:02)
Offline
#3 2008-06-30 12:35:24
liare - Użytkownik
- liare
- Użytkownik
- Zarejestrowany: 2005-09-06
Re: Nasza-klasa, tylko nie w pracy :/
Powinno działac. ;-)
Od siebie mogę dodać, że popularność i i silna potrzeba korzystania z tego serwisu spowodowała, że userzy masowo zaczęli sie interesować wszelkimi tunelami http. stron tego typu jest mnóstwo. Także nie wiem, jak u Ciebie ale u mnie samo blokowanie na tabelkach to za mało.
Trzeba było troche dodać regułek do dansguardiana.
Dadatkowo jest jeszcze efekt psychologiczny, czyli jakieś info o blokowaniu serwisu, no i kara w w postaci odciecia inetu na jakiś czas.
liare
JID: liare@jabberpl.org
liare@jabber.dug.net.pl
Offline
#4 2008-06-30 12:37:12
liare - Użytkownik
- liare
- Użytkownik
- Zarejestrowany: 2005-09-06
Re: Nasza-klasa, tylko nie w pracy :/
[quote=guzzi]ja jak chcę zablokować na bank jakąś stronę piszę
route add -host nasa-klasa.pl reject
i zablokowane.
Domena może miec kilka adresów IP i trzeba wszystkie zabkolować[/quote]
No to fajnie by u mnie routing wyglądał. ;-) jest tyle stron co blokuje......;->
liare
JID: liare@jabberpl.org
liare@jabber.dug.net.pl
Offline
#5 2008-06-30 13:31:24
bercik - Moderator Mamut
Re: Nasza-klasa, tylko nie w pracy :/
ja jakbym juz mial to blokowac to w lancuchu FORWARD (reguly blokujace przed regula akceptujaca) i na cala ich klase adresowa 195.93.178.0/23 (ogolnie jestem sceptycznie natawiony do blokad ...)
Ostatnio edytowany przez bercik (2008-06-30 13:32:05)
"Wszyscy wiedzą, że czegoś zrobić nie można. Ale przypadkowo znajduje się jakiś nieuk, który tego nie wie. I on właśnie robi odkrycie." (A.Einstein)
Offline
#6 2008-06-30 13:49:50
guzzi - Członek DUG
- guzzi
- Członek DUG
- Skąd: Asteroida Linux
- Zarejestrowany: 2005-03-31
Re: Nasza-klasa, tylko nie w pracy :/
[quote=liare][quote=guzzi]ja jak chcę zablokować na bank jakąś stronę piszę
route add -host nasa-klasa.pl reject
i zablokowane.
Domena może miec kilka adresów IP i trzeba wszystkie zabkolować[/quote]
No to fajnie by u mnie routing wyglądał. ;-) jest tyle stron co blokuje......;->[/quote]
Ale działa i to w 99.99% :)
Offline
#7 2008-06-30 15:12:38
TBH - Członek DUG
Re: Nasza-klasa, tylko nie w pracy :/
oni nie są na tyle kumaci żeby tunelować ruch, albo proxy https :P
a pracodawca doskonale wie, kto gdzie i kiedy, zostalem zobowiązany do okazania logów ;]
spróbuję route :)
http://tbhthelolmaker.wordpress.com/kontakt/
<TBH> Gentoo!
<X-dos> cóz, sa ludzie ktorzy nie wiedza co robic ze swoim wolnym czasem :)
Offline
#8 2008-06-30 17:03:53
TBH - Członek DUG
#9 2008-06-30 17:16:44
liare - Użytkownik
- liare
- Użytkownik
- Zarejestrowany: 2005-09-06
Re: Nasza-klasa, tylko nie w pracy :/
[quote=TBH]oni nie są na tyle kumaci żeby tunelować ruch, albo proxy https :P
a pracodawca doskonale wie, kto gdzie i kiedy, zostalem zobowiązany do okazania logów ;]
spróbuję route :)[/quote]
Najgorzej to niedoceniać przeciwnika. ;-)
Nie trzeba byc szczególnie kumaty aby skorzystać ze strony np: http://www.bypassthat.com/
Nie trzeba nic wiedziec na ten temat, wystarczy, że ktoś to roześle pocztą po znajomych z adnotacją, że mozna w tej sposób wejść za zabroniona strone.
Masz szczęście, ze pracodawca żąda logów. U mnie niestety tego nie ma.
liare
JID: liare@jabberpl.org
liare@jabber.dug.net.pl
Offline
#10 2008-07-18 09:48:02
misiodab - Użytkownik
- misiodab
- Użytkownik
- Zarejestrowany: 2006-11-12
Re: Nasza-klasa, tylko nie w pracy :/
Ja miałem tą samą zmorę (naszą-klasę) a co gorsza że nie tylko bo jeszcze pudelki i plotki to zrobiłem inaczej :) postawiłem squida i tam po blokowałem mam pliczek tekstowy raz na 3 dni robię analizę i doklepuję nowe stronki a jak ktoś wchodzi na stronę "zakazaną" to dostaje komunikat że nazywasz sie tak i tak i twoja próba odwiedzin strony w godzinach pracy została zapisana w bazie danych. Po 2 tygodniach pracownicy zaczęli pracować :P
Offline
#11 2008-07-18 09:53:49
davidoski - Użytkownik
- davidoski
- Użytkownik
- Skąd: Poznań
- Zarejestrowany: 2007-04-17
Re: Nasza-klasa, tylko nie w pracy :/
Wasze firmy są bardzo liberalne.
U mnie w firmie polityka jest odwrotna - nie blokuje się zakazanych stron tylko blokuje wszystkie z wyjątkiem dozwolonych.
Offline
#12 2008-07-18 10:00:08
misiodab - Użytkownik
- misiodab
- Użytkownik
- Zarejestrowany: 2006-11-12
Re: Nasza-klasa, tylko nie w pracy :/
W sumie też dobry pomysł pomyśle o takim rozwiązaniu :)
Offline
#13 2008-07-18 10:15:32
NIC - Członek DUG
Re: Nasza-klasa, tylko nie w pracy :/
Hmmm... A bramka www nie jest rozwiązaniem na wszelkie bloki? Sporo takich bramek jest:
Np.
http://www.surfthru.net
Stronka-dom: [url]http://titek.victorygames.pl[/url]
Jabber: nic@jabster.pl
Hobby: kompilowanie Linuksa, Bluetooth
Dystrybucja: żadna, bliski krewny LFS, składak
Offline
#14 2008-07-18 11:16:25
liare - Użytkownik
- liare
- Użytkownik
- Zarejestrowany: 2005-09-06
Re: Nasza-klasa, tylko nie w pracy :/
[quote=NIC]Hmmm... A bramka www nie jest rozwiązaniem na wszelkie bloki? Sporo takich bramek jest:
Np.
http://www.surfthru.net[/quote]
4 posty wyżej pisałem na ten temat. ;->
Rozwiązaniem jak dla mnie jest dansguardian lub podobne filtrowanie na podstawie zawartości stron.
Ostatnio edytowany przez liare (2008-07-18 11:17:41)
liare
JID: liare@jabberpl.org
liare@jabber.dug.net.pl
Offline
#15 2008-07-18 11:37:27
TBH - Członek DUG
Re: Nasza-klasa, tylko nie w pracy :/
filtrowanie na podstawie zawartości stron może być do obejścia używając proxy https lub tunelu po ssh.
http://tbhthelolmaker.wordpress.com/kontakt/
<TBH> Gentoo!
<X-dos> cóz, sa ludzie ktorzy nie wiedza co robic ze swoim wolnym czasem :)
Offline
#16 2008-07-18 11:42:59
liare - Użytkownik
- liare
- Użytkownik
- Zarejestrowany: 2005-09-06
Re: Nasza-klasa, tylko nie w pracy :/
[quote=TBH]filtrowanie na podstawie zawartości stron może być do obejścia używając proxy https lub tunelu po ssh.[/quote]
owszem, ale trzeba jeszcze mieć możliwość wyjścia na port ssh.
https jest wypuszczony, ale monitorowany, więc w przypadku podejrzanego ruchu na tym porcie z danego pc, biorę go pod obserwację dokładniejszą i prędzej czy później wyczaję gościa. ;-) a wtedy to tylko intranet mu zostaje. Po 2 tygodniach sam przyjdzie przepraszać. ;->
Nie ma metody doskonałej, wiadomo.
liare
JID: liare@jabberpl.org
liare@jabber.dug.net.pl
Offline
#17 2009-10-19 14:10:09
Luc3k - Użytkownik
Re: Nasza-klasa, tylko nie w pracy :/
[quote=guzzi]route add -host nasa-klasa.pl reject[/quote]
A jaka była by składnia gdybym chciał zablokować tylko jednemu użytkownikowi w sieci?
PS. jak potem usunąć taką blokadę?
Ostatnio edytowany przez Luc3k (2009-10-19 14:12:58)
Offline
#18 2009-10-19 14:55:30
guzzi - Członek DUG
- guzzi
- Członek DUG
- Skąd: Asteroida Linux
- Zarejestrowany: 2005-03-31
Re: Nasza-klasa, tylko nie w pracy :/
logicznie route del
Offline
#19 2009-10-19 15:44:19
marg1 - Gentoowy Głupek
- marg1
- Gentoowy Głupek
- Skąd: Bytom
- Zarejestrowany: 2009-05-15
Re: Nasza-klasa, tylko nie w pracy :/
Jak można często jedyną rozrywkę w nudnej biurowej robocie ludziom odbierać - wiem jak to jest, pracowałem w firmie, gdzie jedyną dostępną stroną była strona tej właśnie firmy + poczta korporacyjna - strasznie cieżko przetrwać tak dzień :)
marg1@jid.dug.net.pl
Linux User Registration Number: #488674
CISCO CCNA Alumni :)
Offline
#20 2009-10-20 08:58:36
kamikaze - Administrator
- kamikaze
- Administrator
- Zarejestrowany: 2004-04-16
Re: Nasza-klasa, tylko nie w pracy :/
Polecam ssh -D na takie problemy, tylko trzeba mieć jakieś konto shellowe.
Offline
#21 2009-10-20 11:56:26
ippo76 - fakam fszycho
Re: Nasza-klasa, tylko nie w pracy :/
[quote=kamikaze]Polecam ssh -D na takie problemy, tylko trzeba mieć jakieś konto shellowe.[/quote]
Możesz jakieś polecić?
ippo76@jid.dug.net.pl
Moja składka do ZUS = 2/3, moja składka do OFE = 1/3;
Stan mojego konta w ZUS = 2XYZ, stan konta w OFE = 3XYZ.
Offline
#22 2009-10-20 12:24:44
kamikaze - Administrator
- kamikaze
- Administrator
- Zarejestrowany: 2004-04-16
Re: Nasza-klasa, tylko nie w pracy :/
[quote=ippo76][quote=kamikaze]Polecam ssh -D na takie problemy, tylko trzeba mieć jakieś konto shellowe.[/quote]
Możesz jakieś polecić?[/quote]
Moge polecić dug-owe.
Offline
#23 2009-10-20 12:26:14
ippo76 - fakam fszycho
#24 2009-10-20 13:22:08
kamikaze - Administrator
- kamikaze
- Administrator
- Zarejestrowany: 2004-04-16
Re: Nasza-klasa, tylko nie w pracy :/
[quote=ippo76]Ja dostałem odpowiedź, że w dugowym tunelowania niet :)[/quote]
tunelowania może i niet, ale to nie jest unelowanie.
Offline
#25 2009-10-20 13:34:23
ippo76 - fakam fszycho
Re: Nasza-klasa, tylko nie w pracy :/
A ja chciałem tunelować, bo w nosie mam NK, ale chciałem wejść do swoich kompów za NAT - właściwie to takie konto by mnie interesowało :)
ippo76@jid.dug.net.pl
Moja składka do ZUS = 2/3, moja składka do OFE = 1/3;
Stan mojego konta w ZUS = 2XYZ, stan konta w OFE = 3XYZ.
Offline
Informacje debugowania
| Time (s) | Query |
|---|---|
| 0.00021 | SET CHARSET latin2 |
| 0.00009 | SET NAMES latin2 |
| 0.00173 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='52.15.170.196' WHERE u.id=1 |
| 0.00173 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '52.15.170.196', 1732296241) |
| 0.00098 | SELECT * FROM punbb_online WHERE logged<1732295941 |
| 0.00158 | DELETE FROM punbb_online WHERE ident='18.221.238.204' |
| 0.00077 | SELECT topic_id FROM punbb_posts WHERE id=130975 |
| 0.00008 | SELECT id FROM punbb_posts WHERE topic_id=11767 ORDER BY posted |
| 0.00114 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=11767 AND t.moved_to IS NULL |
| 0.00007 | SELECT search_for, replace_with FROM punbb_censoring |
| 0.00328 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=11767 ORDER BY p.id LIMIT 0,25 |
| 0.00172 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=11767 |
| Total query time: 0.01338 s | |