omezeni jednoho stroje v siti pomoci BSD
Dan Lukes
dan at obluda.cz
Mon Apr 21 11:13:55 CEST 2008
Jaroslav Votruba wrote:
> nas management se rozhodl ze bude sledovat zamestnance, co delaji na
> pocitacich. To by mi nevadilo, jako to, že ta firma tu ma svuj linuxovej
> server v me siti, musel jsem jim udelat pristup zvenci, ale co mi vadi,
> ze nemam pristup na ten server a nevim co vse mohou provadet v me siti.
Ta sit neni tvoje, ale tveho managementu, a uvaz, ze "ta firma" dostala
za ukol sledovat vsechny zamestnance. Ne ty. Coz znamena, ze "sledovaci
duveru" maji oni, ne ty a oni maji sledovat tebe, ne ty je. To zaprve.
Tobe bojovat s onou formou se rovna bojovat s managementem firmy. Pokud
nejsi majitel te firmy, tak ti takovy boj neprislusi.
Za druhe, pri sledovani ziskaji dost informaci na to, aby cokoliv co si
z te site usmysli udelat mohli delat jako nekdo jiny. Takze v tom boji
maji oni navic slusne sance, proti tobe.
No, tohle se ale FreeBSD moc netyka.
> vyvolava pochybnosti o te dotycne firme
Shromazdit informace, predat managementu. Rozhodnuti (a odpovednost za
nej) je jejich.
. Neni problem si
> u nas nasnifovat jmena a hesla k mailovym uctum, protoze konkretne nasi
> manageri se nechteji POP3 vzdat(duvod je -a ja to chci mit v notebooku
> furt s sebou).
POP versus IMAP se nelisi tim, jestli "to muzes mit v notebooku s
sebou" a POP versus IMAP se nelisi ani v (ne)schopnosti prenaset hesla
sifrovane. Zaved povinne - sifrovana spojeni - na to nemusis opoustet POP.
Ale ani tohle se FreeBSD jako takoveho az tak netyka.
> Stavajici stav je takovy. Server s BSD 5,x funguje jako brana , firewall
> a router. Ma dve rozhrani -venkovni a vnitrni 192.168.0.0/24. Ten jejich
> server ma IP 192.168.0.6 a tunelem je ssh otevreno ven na druhe verejne
> IP , ktera je aliasovana na venkovni sitovce. Jejich serveru staci jen
> poslouchat na portu kde je postgrsql ( port zpameti nevim, ale jednou z
> reseni jak eliminovat sbirani dat je na stanici blokace tohoto portu),
> ale data ve vnitrni siti nejdou pres BSD, ale smeruje je primo switch,
> takze firewall na bsd je mi na nic.
> Jak to nejsnaze udelat abych jim mohl ustrihnout vse krome postgre a
> http? Jedine co me napadlo, dat do bsd serveru jeste jednu sitovku a
> provoz routovat na jejich stroj, pak bych jim vse okrajel pomoci ipfw.
> Ale mozna je i snazsi reseni
Bud' nerozumim zadani nebo je odpoved trivialni - IPFW na tvem routeru
dokaze omezeovat libovolna spojeni jdouci dovnitr, tedy i to jejich.
Takze co jde dovnitr na jejich IP a porty, ktere jim chces povolit
povol, ostatni zakaz. Pokud jim chces neomezovat spojeni ven, tak
zakazuj jen setup, v danem smeru a v druhem ho nech otevreny.
Established pak nech otevrene v obou smerech. nebo se muzes pokusit o
stavovy firewall.
Pokud ale komunikuji sifrovanym tunelem (a ja jsem tak uplne nepochytil
jestli ano) tak to mas smulu - co si oni prenaseji uvnitr, do toho ty
nevidis.
Dan
More information about the Users-l
mailing list