[ S_tosha @ 21.06.2005. 06:12 ] @
| Kako pod Win2k Server moze da se zabrani pristup internetu pojedinim racunarima ili userima? Imam domensku mrezu, na serveru je podignut RAS sa NAT-om, na jednoj dial-up konekciji. Podesavanje RRAS==> Routing Interfaces ==> ime_interface-a, pa desni klik i Set IP demand-dial filters samo zabrani inicijalizaciju konekcije, ali ako veza vec postoji, postoji i pristup internetu.Pod IP Routing==>general==>Ime_interface-a postoji input i output filters, ali mi kad postavim odgovarajuce adrese (sa lokalne mreze) to ne radi.
HELP!!!! |
[ AleksandarNS @ 21.06.2005. 14:19 ] @
napishi kako si podesio inbound and outbound filters
[ S_tosha @ 22.06.2005. 06:33 ] @
pod output filters sam sam u source network stavio IP adresu (lokalnu - 192.168.46.x) racunara za koji ne zelim da ima pristup internetu i cekirao transmit all packets except..., ali racunar i dalje ima prisrup net-u. Kada stavim IP servera i cekiram drop all packets except..., ni server vise nema pristup net-u.
[ AleksandarNS @ 22.06.2005. 12:28 ] @
Citat: S_tosha: i cekirao transmit all packets except...,
pa jel ovde ne treba drop all packets?
[ S_tosha @ 22.06.2005. 12:39 ] @
Kolko ja razumem engleski, treba da pusti sve pakete sem onih za koje sam naveo IP adrese, a sa drop all packets..., bi odbacio sve pakete sem onih koje sam naveo IP adrese, pa bi internet imali samo oni koje hocu da iskljucim.(VALJDA). Ali ni prvo (transmit all packets except...) ne radi vec i dalje svi imaju internet, kao da nikakav filter ne postoji.
[ AleksandarNS @ 22.06.2005. 13:32 ] @
najiskrenije, ja sam izuzetno mnogo problema vec imao sa tim filterima. nikako nisu hteli da rade onako kako sam ja hteo :(
bash da vidim da li ce se josh neko javiti, da vidim gde greshimo.
[ S_tosha @ 22.06.2005. 23:34 ] @
Nesto kontam ove filtre: kad se u output filters onemoguci destination address to radi (mozes da blokiras pristup pojedinim sajtovima ako znas njihovu IP adresu, sto dobijes ping komandom), ali ne radi sa source address (kad source address stavis IP adresu sa LAN-a). Mozda filtri rade samo za doticni interface pa moras da stavis (u slucaju interface-a kojim pristupas net-u) javnu IP adresu, tj. onu koju dodijes od provider-a. Problem je sto od provider-a dobijes samo jednu javnu IP adresu!!!!! :((
[ S_tosha @ 23.06.2005. 12:16 ] @
komanda route print
Code:
==============================================================
Interface List
0x1 ........................... MS TCP Loopback interface
0x10003 ...00 00 5a 9c ce cc ...... SysKonnect SK-9521 V2.0 10/100/1000Base-T Adapter, PCI 32bit, Copper RJ-45 - Packet Scheduler Miniport
==============================================================
==============================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.46.5 192.168.46.37 20
podaci u routing tabeli sa Network destination: 0.0.0.0 se odnose na pristup internetu!
ovo se izbrise komandom
Code:
route delete 0.0.0.0
i racunar vise nema pristup internet-u :))
vraca se sa :
Code:
route add 0.0.0.0 mask 0.0.0.0 192.168.46.5 metric 20
naravno umesto 192.168.46.5 upises IP servera tj. racunara sa modemom.
Mozda moze da se napravi neka start up skriptica ili tako nesto.
P.S. Zasto je metric 20? I ima li negde lista nepozeljnih i opadnih sajtova (sa IP adresama), mada bi se njegova velicina merila TeraByte-ovima!
[ plavigor @ 23.06.2005. 13:51 ] @
@S_tosha
Evo, jutros sam simulirao tvoj problem, pa da kazem i ja nesto...
Na svakom mreznom interfejsu se mogu postaviti filteri, u dolaznom i odlaznom smeru. Mnoge ljude buni u kom smeru treba postaviti filter i na kom interfejsu. Na primer, ako zelis da postavis filtere za saobracaj u smeru Intranet-->Internet, koristices Input na privatnom interfejsu i/ili Output na javnom interfejsu. Ako zelis da filtriras dolazni saobracaj sa Interneta, tj. Internet-->Intranet, onda ces koristiti Input na javnom i/ili Output na privatnom interfejsu. Dakle, u tvom slucaju ces na privatnom interfejsu postaviti Input filter "Receive all packets except..." i u "Source network" ces upisati IP adresu nepozeljnog racunara sa maskom 255.255.255.255.
U tvom drugom postu si napisao da si postavio Output filter, ali nisi rekao na kom interfejsu. Ako si ga postavio na privatnom - ne valja, jer je to filter za smer Internet-->Intranet, a ako si ga postavio na javnom - smer je dobar, ali nije dobra IP adresa. Naime, ti paketi su vec NAT-ovani, tj. promenjena im je Source IP adresa, sto znaci da ti paketi ja javni interfejs ne dolaze sa nezeljenog racunara, vec sa NAT servera. Zato ih i propusta. Naravno, ako tu stavis IP adresu servera, ni on nece moci na Internet. Tako Output filter na javnom interfejsu ima potpuno isti uticaj na sve NAT-klijente i sa tim filterom mozes npr. ceo saobracaj da ogranicis samo na Web i e-Mail. Inace, vrlo je nezgodno sto se filteri na jednom interfejsu mogu dodavati samo u istom maniru, tj. svi moraju biti ili "Receieve all..." ili "Drop all...", pa je zbog toga jako tesko postaviti vise razlicitih filtera. Kome ne odgovara, morace da se igra sa nekim softverskim zastitnim zidom ili sa Proxy-jem.
Inace, problem mozes resiti i na jedan jednostavan nacin. Ako su ti svi klijenti na istom sabnetu, onda nepozeljnim racunarima samo izbrisi "Default Gateway".
Ovo su sve moja licna zapazanja na osnovu teorije i iskustva i mozda nisu tacna, ali u tvom slucaju funkcionisu.
Pozdrav.
[ S_tosha @ 23.06.2005. 19:32 ] @
Default gateway, covece! Kako mi to nije palo na pamet! Ubih se ROUTE komandom, kad ono ...
Thanx!
Neobavezno pitanje:
Citat: promenjena im je Source IP adresa
Moze li se nekako videti koje im je adrese dodelio NAT server? Dal' je to mozda adresa dobijena od provider-a?
[ plavigor @ 24.06.2005. 07:38 ] @
Mislis, koja je Source adresa paketa pre no sto izadju na Net? Da, to je javna adresa NAT servera koja je dobijena od ISP-a. To i jeste poenta NAT-a i Proxy-a.
[ S_tosha @ 24.06.2005. 13:40 ] @
Filtri opet ne rade. Kada na privatnom interface-u (Local Network) u input sekciji pod source network stavim IP adresu racunara i SM 255.255.255.255, "otkacim" racunar sa mreze (ne mogu ni da ga pingujem). Ipak, mislim da svi filteri idu na jednom interface-u, i to na onom koji inace sluzi za konekciju sa internetom, pri cemu je on sa jedne strane javni, a se druge privatni (Source - Destination). Citao sam i help i tamo ima primer sta treba uraditi za slucaj da samo server ima pristup internetu - NI TO NE RADI. Jedini razlog, koji mi nekako deluje logican, je sam modem i cinjenica da je rec o dial-up konekciji (56k).
Inace, pored dial-up i Local Network interface-a imam jos i Internal (ne dozvoljava nikakve filtre) i Loopback (koji ima potpuno druge namene - nevezane za pristup internetu).
Ipak su Default Gateway ili Route delete komanda najsigurniji.
Filtri su OK za zabranu pojedinih sajtova.
[ plavigor @ 24.06.2005. 18:08 ] @
Ja ne znam sta ti se sve nalazi na tom serveru, ali ti si verovatno ostavio podrazumevana podesavanja za protokole, tj. zabranio si sve protokole na svim portovima za tu IP adresu. Zato taj racunar uopste ne moze da komunicira sa tim serverom. Zabrani mu samo Destination TCP 80.
Inace se slazem sa tim da je to najjednostavnije izvesti sa Default Gateway-om. Ako korisnici budu imali razlicite potrebe na Net-u, moraces da implementiras neki ozbiljni Firewall.
Pozdrav.
[ djk494 @ 27.06.2005. 17:37 ] @
Citat: S_tosha: Kada na privatnom interface-u (Local Network) u input sekciji pod source network stavim IP adresu racunara i SM 255.255.255.255, "otkacim" racunar sa mreze (ne mogu ni da ga pingujem).
Otkacis racunar sa tog servera tj. sav saobracaj sa te adrese ka serveru se filtrira a treba ti Output filter na javnom interfejsu sa source adresom tog recunara.
[ plavigor @ 28.06.2005. 01:32 ] @
@Djaki
Na javnom interfejsu NAT servera se nikada nece naci paketi sa Source adresom nekog klijenta sa mreze, jer su ti paketi upravo NAT-ovani, tj. zamenjena im je bas Source adresa.
[ djk494 @ 28.06.2005. 11:21 ] @
Izvinjavam se moja greska nisam uopste procitao ceo post.
Copyright (C) 2001-2024 by www.elitesecurity.org. All rights reserved.
|