ipfw & ftp

Dan Lukes dan at obluda.cz
Tue Mar 6 22:46:38 CET 2007
Previous message: ipfw & ftp
Next message: OT ipfw & ftp
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
Josef Hrabec napsal/wrote, On 03/06/07 21:57:
> Ano, s tou proxy to je take dobry napad a proxy server provozuji. Lec tato 
> pravidla lze s uspechem pouzivat v akademickych sitich, kde mas patrne 
> moznost pusobit. Avsak bezni uzivatele, kteri nechapou ani zakladni pojmy 
> nejsou schopni neco takoveho pochopit ba se vubec naucit pouzivat.

	Dokazal bych se znacne rozcilit nad poznamkou, ze chtit po odbornem 
spravci nejakeho pocitace trivialni konfiguracni zasah si muze dovolit 
jen od reality odtrzeny akademicky spravce - dost pochybuju, ze 
uzivatele "u komercniho spravce" jsou tupe opice, ktere kdyz se jim na 
pocitaci neco stane, tak ho vyhodi do nejblizsi popelnice a jsou si 
koupit novy. Nicmene, rozcilovat se nebudu i kdyz mi pripada normalni, 
ze s autem si musim poridit taky ridice - nebo se naucit ridit. 
Nepochybuju, ze kazdy ten jeden clovek o kterem je rec ma nekoho, kdo mu 
pocitac odvirovava a vubec resi nejruznejsi provozni problemy daneho 
pocitace - a i kdyby tedy podle navodu (pricemz navod zni - "stahnete 
tenhle ".reg" soubor, kliknete na nej - tim je konfigurace dokoncena) 
nedokazal proxy nastavit uzivatel sam, jiste by to dokazal tento 
spravce. A nakonec - navrhnul jsem metodu, ktera zachovala funkci tem, 
kteri to z jakehokoliv duvodu neudelali - ti jen "nedosahli" na 
nelimitovane spojeni. Nicmene, do toho, zrejme, nevidim - treba se "tam 
u vas, v komercni sfere" zavirovane notebooky, pocitace, ktere prestanou 
ziskavat adresu z DHCP a vubec - pocitace, ktere proste vyzaduji nejaky 
servisni ci konfiguracni zasah skutecne proste vyhazuji - kdyz je 
"kliknuti na ikonku" pro uzivatele takovy problem. To mi neprislusi 
resit a uz vubec ne tady, i kdyz si nemyslim, ze jsou uzicvatele az 
takovi debilove jak tu byli prezentovani. Kliknout an ikonku urcite umi 
vsichni.

	Nicmene, zpatky na zem.

	Exploreru lze nastaveni proxy predat pres DHCP, nebo dalsimi 
"autokonfiguracnimi" metodami tedy bez kooperace s uzivatelem. I kdyz je 
mozne, ze to lze zakazat - kdo byl ovsem tak sikovny, ze to dokazal 
zakazat, ten by mel byt dostatecne schopny proxy nastavit.

	Zminoval, jsme i alternativni reseni - ze "reseni na miru" zvladnete 
udelat s nevelkym programovanim - pres "tee" nebo bpf sbirat kopie 
paketu, analyziovat obsah a podle nalezenych prikazu modifikovat 
nastaveni firewallu. Nemyslim, ze by to presahlo 30 clovekohodin.

	A urcite tu budou i dalsi reseni. Mozna je prilis limitujici vazat se 
na ipfw.

	Nicmene, to jsou skutecne vsechno jen navrhy. Dostanete jine, na neco 
prijdete sam a vyberete si neco co vam bude vyhovovat nejlepe. jen mam 
trochu obavy, ze se vam nepodari soucasne dosahnout zmeny, aniz by se 
cokoliv zmenilo - bud' uzivatle nebo vy, a mozna obe strany, budete 
muset nejakou tu energii vynalozit.

> Nic mene, posledni dotaz (protoze nemam zatim prilis zkusenosti s vytvarenim 
> dynamickych pravidel), existuje u ipfw moznost, jak pri pruchodu paketu z 
> interni site nekam ven na libovolnou IP a port (v nasem pripade necht je to 
> port 21 tcp) vygenerovat automaticky pravidlo, ktere by pro danou IP obeslo 
> defaultni pipe? Treba nejake "skip to", nebo tak neco?

	IMHO ne.

					Dan


-- 
Dan Lukes                                   SISAL MFF UK
AKA: dan at obluda.cz, dan at freebsd.cz,dan at kolej.mff.cuni.cz
Previous message: ipfw & ftp
Next message: OT ipfw & ftp
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
More information about the Users-l mailing list