omezeni jednoho stroje v siti pomoci BSD

Dan Lukes dan at obluda.cz
Mon Apr 21 11:13:55 CEST 2008


Jaroslav Votruba wrote:
> nas management se rozhodl ze bude sledovat zamestnance, co delaji na 
> pocitacich. To by mi nevadilo, jako to, že ta firma tu ma svuj linuxovej 
> server v me siti, musel jsem jim udelat pristup zvenci, ale co mi vadi, 
> ze nemam pristup na ten server a nevim co vse mohou provadet v me siti. 

	Ta sit neni tvoje, ale tveho managementu, a uvaz, ze "ta firma" dostala 
za ukol sledovat vsechny zamestnance. Ne ty. Coz znamena, ze "sledovaci 
duveru" maji oni, ne ty a oni maji sledovat tebe, ne ty je. To zaprve. 
Tobe bojovat s onou formou se rovna bojovat s managementem firmy. Pokud 
nejsi majitel te firmy, tak ti takovy boj neprislusi.

	Za druhe, pri sledovani ziskaji dost informaci na to, aby cokoliv co si 
z te site usmysli udelat mohli delat jako nekdo jiny. Takze v tom boji 
maji oni navic slusne sance, proti tobe.

	No, tohle se ale FreeBSD moc netyka.

> vyvolava pochybnosti o te dotycne firme

	Shromazdit informace, predat managementu. Rozhodnuti (a odpovednost za 
nej) je jejich.

. Neni problem si
> u nas nasnifovat jmena a hesla k mailovym uctum, protoze konkretne nasi 
> manageri se nechteji POP3 vzdat(duvod je -a ja to chci mit v notebooku 
> furt s sebou).

	POP versus IMAP se nelisi tim, jestli "to muzes mit v notebooku s 
sebou" a POP versus IMAP se nelisi ani v (ne)schopnosti prenaset hesla 
sifrovane. Zaved povinne - sifrovana spojeni - na to nemusis opoustet POP.

	Ale ani tohle se FreeBSD jako takoveho az tak netyka.

> Stavajici stav je takovy. Server s BSD 5,x funguje jako brana , firewall 
> a router. Ma dve rozhrani -venkovni a vnitrni 192.168.0.0/24. Ten jejich 
> server ma IP 192.168.0.6 a tunelem je ssh otevreno ven na druhe verejne 
> IP , ktera je aliasovana na venkovni sitovce. Jejich serveru staci jen 
> poslouchat na portu kde je postgrsql ( port zpameti nevim, ale jednou z 
> reseni jak eliminovat sbirani dat je na stanici blokace tohoto portu), 
> ale data ve vnitrni siti nejdou pres BSD, ale smeruje je primo switch, 
> takze firewall na bsd je mi na nic.
> Jak to nejsnaze udelat abych jim mohl ustrihnout vse krome postgre a 
> http? Jedine co me napadlo, dat do bsd serveru jeste jednu sitovku a 
> provoz routovat na jejich stroj, pak bych jim vse okrajel pomoci ipfw. 
> Ale mozna je i snazsi reseni

	Bud' nerozumim zadani nebo je odpoved trivialni - IPFW na tvem routeru 
dokaze omezeovat libovolna spojeni jdouci dovnitr, tedy i to jejich. 
Takze co jde dovnitr na jejich IP a porty, ktere jim chces povolit 
povol, ostatni zakaz. Pokud jim chces neomezovat spojeni ven, tak 
zakazuj jen setup, v danem smeru a v druhem ho nech otevreny. 
Established pak nech otevrene v obou smerech. nebo se muzes pokusit o 
stavovy firewall.

	Pokud ale komunikuji sifrovanym tunelem (a ja jsem tak uplne nepochytil 
jestli ano) tak to mas smulu - co si oni prenaseji uvnitr, do toho ty 
nevidis.

							Dan




More information about the Users-l mailing list