Файрволл на обе стороны ?

← →
Yuri Btr (2004-01-20 21:12) [0]

Как известно многие известные файрволлы защищают сетку от проникновения извне, но как можно закрыть исходящий траффик из сетки (также с компьютера где стоит файрволл). Есть идеи?
Простая фильтрация TCPIP вроде не помогает.
В общем нужно запретить исходящее с машины соединение например на порт 80 (чтобы пользователь не смог юзать броузеры)
Заранее спасибо

← →
panov (2004-01-20 21:22) [1]

странно, у меня WinGate в любую сторону все, что угодно прикрывает...

← →
Yuri Btr (2004-01-20 21:33) [2]

Т.е. Вы хотите сказать что если пользователь обратится с машины, на которой стоит WinGate к 80 порту любого хоста во внешней сети например телнетом, то WinGate закроет доступ для этого приложения ?

← →
panov (2004-01-20 21:42) [3]

>Yuri Btr © (20.01.04 21:33) [2]
Т.е. Вы хотите сказать что если пользователь обратится с машины, на которой стоит WinGate к 80 порту любого хоста во внешней сети например телнетом, то WinGate закроет доступ для этого приложения ?

Конечно - без проблем.

← →
Nikolay M. (2004-01-20 21:50) [4]

> В общем нужно запретить исходящее с машины соединение например
> на порт 80 (чтобы пользователь не смог юзать броузеры)

При таком уровне вопросов, имхо, даже не стоит браться за такую задачу - обойдут за 10 секунд. Самое надежное - это вообще обрубить интернет физически, все равно кому он на хрен такой нужен, без НТТР?

← →
Yuri Btr (2004-01-20 22:03) [5]

to Nikolay M. ©
>При таком уровне вопросов
При таком уровне ответов
>все равно кому он на хрен такой нужен, без НТТР
не понимаю зачем отвечать
Ещё есть почта например и т.д и т.п Мне нужно запретить соединение с удалённым портом номер 80.

← →
Nikolay M. (2004-01-20 22:13) [6]

> Yuri Btr © (20.01.04 22:03) [5]
> to Nikolay M. ©
> >При таком уровне вопросов
> При таком уровне ответов

Не обижайся. Просто задача на самом деле далеко нетривиальная, простым закрытием 80 порта ты не обойдешься. А когда приравнивают "закрытие порта 80" к "пользователь не мог юзать броузеры" остается только развести руками. Защиту от дурака поставить можно, но кому нужно тот - обойдет.

> Ещё есть почта например и т.д и т.п

На здоровье. Внутренний почтовый сервер: MS Exchange+Outlook, Lotus Notes или любой другой.

← →
Yuri Btr (2004-01-20 22:26) [7]

to Nikolay M. ©
Я и не обижаюсь
всё дело в том я сам не люблю когда используют такие термины, но когда тороплюсь то выскакивает.
Теперь объясняю дальше я нигде не употреблял "закрытие порта 80"
только "закрытие доступа" для приложения путём уничтожения сокета приложения пытающегося соединиться с удалённым хостом на порту 80. Локальный порт приложения естественно может быть другим.
"пользователь не мог юзать броузеры" -
"юзать" - use, использовать (англ.)
"броузер" - browser, программа просмотра (англ.)

← →
Nikolay M. (2004-01-20 22:52) [8]

Имхо, НТТРS-прокси с авторизованным доступом будет вполне достаточно.
А вообще, за грамотными решениями лучше идти на http://www.opennet.ru/ и ему подобные, но никак не на полудельфевый-полутрёпный форум :)

← →
Yuri Btr (2004-01-20 23:05) [9]

to Nikolay M. ©
За ссылку спасибо...
А вы случайно не мастер Дельфи, что так судите о форуме?

← →
Alex Konshin (2004-01-20 23:14) [10]

А если я пойду на некий чужой прокси, который сидит не на 80 порту и через него буду смотреть все, что угодно?
Для этого достаточно просто вписать этот прокси в настройки броузера и никакой 80 порт нигде фигурировать не будет.
Как ты с этим собираешься бороться?

Правильный лозунг для системного администратора: "то, что не разрешено - запрешено". Исходя из этого и надо действовать.
Большинство людей думает, что файервол предоставляет доступ, на самом деле он его запрещает, причем совсем. Другое дело, что когда ты ставишь "файервол", то устанавливается прокси (а то и не один), который, собственно, и предоставляет доступ. И чтобы был файервол, не обязательно его "ставить". Например, если на твоем компьютере две сетевые карты и нет маршрутизации между ними(это тоже можно рассматривать как прокси), то у тебя автоматически есть файервол.
Теперь тебе должно быть понятно, что тебе нужно сделать:
- "установить файервол" и запретить все;
- разрешить только то, что хочешь разрешить.

Я догадываюсь, что тебе нужно запретить выход из локальной сети.
То есть, у тебя где-то есть компьютер, на котором два интерфейса: локальный и внешний. Запрети маршрутизацию. Таким образом, у тебя уже есть файервол. Теперь тебе осталось только установить какой-нибудь прокси. Вот в нем и установи то, чего тебе надо и контролируй то, чего тебе надо.

Надеюсь, теперь более понятно, что тебе нужно?

← →
Nikolay M. (2004-01-21 00:05) [11]

Ну вот, только собрался после душа написать еще чего-нибудь полезного, а АК уже все сказал, что накопилось в душЕ (дУше?) за это время :)

> случайно не мастер Дельфи, что так судите о форуме?

Нет. Просто я почти постоянно смотрю Базы и Потрепаться. За последнее время (год, может быть) интересные вопросы из Баз почти пропали, а в Потрепаться, наоборот, можно найти что-то живенькое :)
Это сугубо мое имхо, конечно. Но по сравнению с тем же MS SQL на sql.ru: там скил отвечающих в среднем намного выше. По крайней мере вопросов вроде "как отсортировать строки в БД" там я не припомню. Конечно, у Romkin, polevi, sniknik, Johnmen, ЮЮ, Reinder moss eater (кого навскидку вспомнил) ответы всегда на высоте, но сам уровень вопросов (и их частота), имхо, снизился. А вот в потрепаться - как раз все наоборот :)

← →
Holy (2004-01-21 08:42) [12]

Поставь OutPost, явно разреши доступ по определенным адресам определенным приложениям и переведи его в режим блокировки и наступит тебе счастье... Все явно не разрешенные соединения будут погашены.

← →
pasha_golub (2004-01-21 09:43) [13]

Как известно многие известные файрволлы защищают сетку от проникновения извне

Файрвол отсеивает или пропускает пакеты по неким правилам, установленным администратором. Файрвол не понимает (в отличии от админа :-) где внешняя сеть, а где внутренняя. Можно сделать все что угодно, начиная с фильтрации по портам, заканчивая фильтрацией по содержимому пакетов. Принципы одинаковы для всех. Так что научившись фильтровать паекты в Виндоусе (на том же WinGate, хотя я предпочитаю WinRoute), можно будет настроить фильтрацию на любой другой ОСи. Вот, в Линуксе, например, фильтрация пакетов встроена в ядро ОС (iptables или устаревшее ipchains).

www.opennet.ru - хороший для этого ресурс.

Файрволл на обе стороны ? Найти похожие ветки