-
Простой вопрос по браузерам
Шеф дал задание чтобы люди не могли просматривать сайты, но чтобы была возможность юзать почту через The Bat и ICQ.
Что мы имеем: Сеть через рабочую группу, интернет раздается через 1 компьютер в котором расшаренное интернет соединение. На компьютерах-клиентах в сетевом подключении указан ip-адрес компьютера (который раздает интернет) и DNS-адреса провайдера.
Я принял решение прописать в браузерах в качестве прокси сервера и порта "всякую ерунду", например, 23452345234 345324523, чтобы браузер обтправлялся в астрал. НО не на каждом компе это срабатывает. Бывает так, что при указании "всякой ерунды" в IE открываются странички, а в Firefox нет, но бывает и наоборот.
Вопросы:
1. Почему так ведут себя браузеры.
2. Есть ли другой способ (проксю не предлагать, надо "напакастить" в браузерах, чтобы потом работоспособность можно было быстро восстановить).
P.S. продвинутых пользователей в сети нет.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
siberialt
Я принял решение прописать в браузерах в качестве прокси сервера и порта "всякую ерунду", например, 23452345234 345324523, чтобы браузер обтправлялся в астрал.
Вот так пропишите прокси 0.0.0.0:99
-
-
а 80 порт на шареном компе не пробовали заблокировать?
The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
"Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)
-
-
Сообщение от
zerocorporated
Вот так пропишите прокси 0.0.0.0:99
Сообщение от
Ego1st
а 80 порт на шареном компе не пробовали заблокировать?
Спасибо, завтра попробую
Добавлено через 1 час 35 минут
Ах, совсем забыл сказать, что на всех машинах стоит Kaspersky Work Spase Security. Можно ли с помощью него как-то запретить браузеры не трогая The Bat и ICQ?
Добавлено через 27 минут
Попробовал дома на виртуальной машине поставить Kaspersky WSS и запретить порты 80-83 и IE и Firefox не смогли вырваться в интернет. Если все будет нормально, то так и сделаю, чтобы удаленно можно было управлять доступом пользователей, а не бегать к каждой машине и ставить "костыли" для браузеров.
Критика и дополнения к теме принимаются!
Последний раз редактировалось siberialt; 06.11.2008 в 18:26.
Причина: Добавлено
-
не забудьте заблокировать также и для explorer- проводника-, с ним тоже можно в инет вылазить
-
-
хм как я понял "расшареный инет" это нормальным языком:
поднят NAT и вызов по требованию, отсюда комп где "расшарили" является шлюзом NAT
так самое логичное рулить доступ там и только там.!!!
вроде можно стандартными средствами виндов, файрволом, но каюсь лень разбиратся с поделками мелкомягких, и сам пользую
IPFW (портированный под винду файрвол, с названием WIPFW)
вот пример правил
предположим что ваша подсеть типа 192.168.*.*
-------
#DNS
add allow udp from any to any 53
# дали всем почту
add allow tcp from 192.168.0.0/16 to not 192.168.0.0/16 110
add allow tcp from 192.168.0.0/16 to not 192.168.0.0/16 25
# а вот себе пока все мона, кто же рубит сук на которых сидит
add allow ip from 192.168.0.13 to not 192.168.0.0/16
# и зарубим все остальное наружу всем
add deny ip from 192.168.0.0/16 to not 192.168.0.0/16
#все остальное можно
add allow ip from any to any
шо за файрвол, гуглим по "WIPFW"
ЗЫ может что забыл в правилах, извиняюсь знатоки подправят., писал по памяти
ЗЫЗЫ если научитесь этим пользоватся, то в будущем не сможете отказатся, можно такие правила наворотить мама не горюй
Добавлено через 21 минуту
... эти правила только дадут почту с ICQ нужно дополнительные, но нужно решить что мы хотим... и по какому протоколу разрешить... icq может работать с несколькими, хотя чисто имхо самый писк это оболочка в https = повышенная безопасность, но палка о двух концах , тоесть и пониженный контроль
Последний раз редактировалось Virtual; 07.11.2008 в 06:12.
Причина: Добавлено
-
Решил проблему так:для каждого компьютера-клиента в Касперском для IE и Mozilla в стандартных правилах везде изменил с "разрешить" на "запретить". Так же поступило распоряжение избранным все таки оставить интернет, поэтому групповые правила внедрить не получится.
Спасибо всем кто откликнулся.
-
2siberialt смотри мой пост выше, там все можно, в том числе и разрулить кому что разрешать
-
Сообщение от
Virtual
2siberialt смотри мой пост выше, там все можно, в том числе и разрулить кому что разрешать
Спасибо, приму к сведению.
-
siberialt и даже то что Вам порекомендовали все равно не даст 100% гарантии что нельзя можно будет лазить по инету и просматривать ссылки и скачивать файлы достаточно иметь почтового клиента и это будет означать что инет у человека есть Хотя без некотого опыта и определенных знаний этого конечно не реализовать.А Virtual дал хороший совет! Хотя думаю что Вам было бы немного проще использовать какойнить проксик с графическим фейсом и драйвером NAT
-
-
Согласен, с учётом новой вводной нужен прокси-сервер с поддержкой авторизации и прав доступа (можно тот, что у меня в подписи ). Расшаривание подключения, соответственно, отменяется, иначе полезут в обход.
-
-
Сообщение от
Jolly Rojer
siberialt и даже то что Вам порекомендовали все равно не даст 100% гарантии что нельзя можно будет лазить по инету и просматривать ссылки и скачивать файлы
достаточно иметь почтового клиента и это будет означать что инет у человека есть
Хотя без некотого опыта и определенных знаний этого конечно не реализовать.А Virtual дал хороший совет! Хотя думаю что Вам было бы немного проще использовать какойнить проксик с графическим фейсом и драйвером NAT
Сообщение от
pig
Согласен, с учётом новой вводной нужен прокси-сервер с поддержкой авторизации и прав доступа (можно тот, что у меня в подписи
). Расшаривание подключения, соответственно, отменяется, иначе полезут в обход.
Я говорил шефу про необходимость прокси (в другой канторе использовал бесплатный SmallProxy), но это ведь дополнительные расходы и он отклонил мое предложение, хотя расходы не такие уж и большие.
-
Дык, а что мешает в данном случае использовать бесплатную проксю? Это же не за Usergate платить ... всего лишь за пару метров трафика...
-
-
и всетаки
судя по исходной
.нужно раздать ПОЧТУ!!! куче народа, (думаю pop smtp)
.ицку (ну тут проблем нет)
.http избраным
может всетаки проще NAT (аля расшареный инет), и разрулить файрволом, даже просто по ип
ЗЫ самому пришлось выбирать между NAT и прокси, мне больше понравилось через NAT/
PSPs ща разруливаю инет через нат в домене (пришлось потанцевать с днс), и почта и все остальное работает у тех кому можно
-
Virtual согласен, но тут могут быть некоторые проблеммы с биллингом и отчетами которые иногда бывает нужно представить руководству... В данном случае я уверен на 99% что человек не сможет распечатки представить так как ему будет это весьма сложно сделать. В варианте же с прокси проблема как таковая отсутствует. А иначе человек врятли бы этот вопрос задал. ИМХО
-
-
Jolly Rojer
ну wipfw, трафик считает влегкую, а вот с распечаткой кто и куда лазил проблема, (ну файрвол просто не для этого, хотя и приведенный выше и так уже не просто файрвол)
а вот чтоб пробросить smtp pop (почта), в проксях приходится потанцевать, тот же узергейт и то изврат предлагает, а что делать с какой нить клиент банковской прогой, или еще хуже клиентом для "передачи в налоговую"? особо если у нее че нить не очень с реализацией протоколов. (кстати это один из рычагов вынудивших меня осваивать NAT против прокси, "Атлас" /передача данных в налоговую/ криво понимает smtp, и результат в узергейте проблемы)
ЗЫ самый писк это совместить
NAT - раздача почти прямого инета (ну там почта, или другие сервисы, не умеющие работать с прокси)
файрвол -ограничение что и кому можно
прокси или другой софт - для контроля http трафик + огр доступа к инфе, ICQ + контроль (чтение инфы по желанию), да и просто кэш, + рекламорезка
ЗЫЗЫ а на начальной стадии, придется выбрать
или следить кто сколько и чего накачал,
или беспроблемная почта, клиент-банк, сдача отчетности в налоговую, но контроль реально ниже //хотя это все поправимо, с приобретением опыта
ЗЫЗЫ сам использую, на данный момент:
штатные средства винды NAT, DNS
WIPFW файрвол + подсчет трафика
proxomitron нарезка рекламмы (терпеть ее немогу)
все абсолютно бесплатно акромя самой винды
Последний раз редактировалось Virtual; 11.11.2008 в 21:33.
-
А самое полезное - прозрачное проксирование
Left home for a few days and look what happens...
-
-
Сообщение от
Virtual
Jolly Rojer
..... а вот с распечаткой кто и куда лазил проблема...
О чем собственно я и сказал. Большинство прокси выдают достаточно хорошо читабельные отчеты.
Сообщение от
Virtual
а вот чтоб пробросить smtp pop (почта), в проксях приходится потанцевать, тот же узергейт и то изврат предлагает, а что делать с какой нить клиент банковской прогой, или еще хуже клиентом для "передачи в налоговую"? особо если у нее че нить не очень с реализацией протоколов. (кстати это один из рычагов вынудивших меня осваивать NAT против прокси, "Атлас" /передача данных в налоговую/ криво понимает smtp, и результат в узергейте проблемы)
Знаю на все 100% что UG без проблем реализует почтовые соединения smtp,pop причем без лишних подпригиваний не говоря про танцы, а о изврате вообще молчу С клиент банками работает без особых проблем и шаманства, с прогами для передачи отчетности работает отлично причем настройка занимает не больше 5 минут (юзались 2 софта для передачи данных в налоговую это СПРИНТЕР и СБИС ни с одним из них проблем не возникало особенно если читать HELP и README). К стати в том же самом UG реализован NAT и работает это все прозрачно. Так что думаю в данном случае виноват не UG. Проблемы не у него, а скорее у некоторых программеров которые думают только о том как научить свою прогу тупо, прямо передавать данные. Естественно есть у UG и свои минусы, но как говорится нет идельного ни чего... но к этому стремиться надо
-
-
Оффтоп: Спринтер и СБИС легко настраиваются на любой прокси, лишь бы он отображение TCP поддерживал. СБИС вообще одна из лучших программ в этом классе - и по удобству работы оператора, и по удобству настройки для администратора. Вот клиент-сбербанк - это песня...
-
-
Офтоп
ну незнай незнай, у меня СПРИНТЕР, через дипост боле менее работал а вот при передаче через референт посылал команду RSET и UG его отшивал с ош 500.
---
да и сколько стоит тот же UG, особо против штатных средств самой винды?
от клиент-сбербанк - это песня...
даа чудный клиентик, кровушки попьет ой как.
ЗЫ у меня главбух принудительно посажен на оперу, а что делать с уралсибовским клиент-банком (он на активХ и соответственно работает только в ие +в ие7 глючит),
так сделал просто ие напрямую ходит в инет (но на файрволе разрешен только ип банка ), а опера через некеширующий прокси-фильтр в остальной мир. \\всем тепло уютно и никакой заразы, и опять же вложений 0$.