форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Открытые системы на сервере (Firewall, Фильтрация пакетов / Linux)
Изначальное сообщение		[ Отслеживать ]

"Правило фаервола, завязанное на приложение"	+/–
Сообщение от GlooM (??) on 06-Апр-13, 20:35
Приветствую. Имеется следующая ситуация. Терминальный сервер (Linux + xrdp + X11rdp). На сервере созданы учетные записи пользователей, которые, подключаясь из локалки, пользуются интернетом на удаленном рабочем столе сервера (лично на их компах интернет запрещен). Поставлена задача : вести лог всех веб-запросов не просто исходящих с сервера (по ip его сетевой карты), а именно разделенных по каждому пользователю. Предположение по решению: поднять локальный squid с авторизацией и раздать каждому пользователю его логин\пароль, таким образом в логах сквида будет отмечаться какой именно пользователь что посмотрел в инете. Проблема: пользователь может в настройках своего браузера на удаленном раб.столе отключить опцию проксирования и начать ходить мимо сквида, не попадая в логи сквида. Вопрос: как настроить фаервол на сервере таким образом, чтобы он запрещал ВСЕ исходящие пакеты на порт 80 (в случае если пользователи захотят со своих удаленных раб.столов стучаться браузерами напрямую), но при этом самому локальному скивду, работающему на этом сервере, не мешал (хотя сквид будет стучаться в тот же самый порт 80)??? Если нет возможности разграничить фильтрацию пакетов по именам программ, можно ли ее осуществить по именам пользователя из под которого данный софт запрошен (например, разрешаем руту, из под которого запущен сквид, а обычным юзерам запрет)?
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Правило фаервола, завязанное на приложение"	+/–
Сообщение от pavlinux (ok) on 06-Апр-13, 21:41
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128;
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Правило фаервола, завязанное на приложение"	+/–
	Сообщение от GlooM (??) on 06-Апр-13, 22:21
	> iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port > 3128; И что получится??? Сквид, спрашивающий запрошенную пользователем страницу в интернете, обратиться к порту 80, а фаервол его зациклит обратно на сквид 3128? Как сквиду во внешний инет-то ходить (его обращения на порт 80 должны пропускаться). Это сервер на котором установлен сквид и удаленные рабочие столы запускаются НА НЕМ ЖЕ.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	16. "Правило фаервола, завязанное на приложение"	+/–
	Сообщение от Bolek (ok) on 21-Апр-13, 17:24
	> Это сервер на котором установлен сквид и удаленные > рабочие столы запускаются НА НЕМ ЖЕ. что мешает утащить squid на отдельный сервер и выпускать пользователей через него?
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "Правило фаервола, завязанное на приложение"	+/–
Сообщение от aaa (??) on 06-Апр-13, 22:44
>[оверквотинг удален] > на удаленном раб.столе отключить опцию проксирования и начать ходить мимо сквида, > не попадая в логи сквида. Вопрос: как настроить фаервол на сервере > таким образом, чтобы он запрещал ВСЕ исходящие пакеты на порт 80 > (в случае если пользователи захотят со своих удаленных раб.столов стучаться браузерами > напрямую), но при этом самому локальному скивду, работающему на этом сервере, > не мешал (хотя сквид будет стучаться в тот же самый порт > 80)??? Если нет возможности разграничить фильтрацию пакетов по именам программ, можно > ли ее осуществить по именам пользователя из под которого данный софт > запрошен (например, разрешаем руту, из под которого запущен сквид, а обычным > юзерам запрет)? iptables -A OUTPUT -p tcp -m tcp --dport 80 -m owner --uid-owner 117 -j ACCEPT iptables -A OUTPUT -p tcp -m tcp --dport 80 -j DROP
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	4. "Правило фаервола, завязанное на приложение"	+/–
	Сообщение от GlooM (??) on 06-Апр-13, 22:45
	> iptables -A OUTPUT -p tcp -m tcp --dport 80 -m owner --uid-owner > 117 -j ACCEPT > iptables -A OUTPUT -p tcp -m tcp --dport 80 -j DROP Воот. Буду пробовать. Спс! А цифра 117 что именно означает?
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "Правило фаервола, завязанное на приложение"	+/–
	Сообщение от aaa (??) on 06-Апр-13, 22:56
	>> iptables -A OUTPUT -p tcp -m tcp --dport 80 -m owner --uid-owner >> 117 -j ACCEPT >> iptables -A OUTPUT -p tcp -m tcp --dport 80 -j DROP > Воот. Буду пробовать. Спс! > А цифра 117 что именно означает? 117 - идентификатор пользователя в моей системе. Вам надо подставить uid сквида
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	6. "Правило фаервола, завязанное на приложение"	+/–
	Сообщение от GlooM (??) on 06-Апр-13, 23:03
	>>> iptables -A OUTPUT -p tcp -m tcp --dport 80 -m owner --uid-owner >>> 117 -j ACCEPT >>> iptables -A OUTPUT -p tcp -m tcp --dport 80 -j DROP >> Воот. Буду пробовать. Спс! >> А цифра 117 что именно означает? > 117 - идентификатор пользователя в моей системе. Вам надо подставить uid сквида А как его узнать? Он не будет меняться при каждой загрузке системы как pid ?
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	7. "Правило фаервола, завязанное на приложение"	+/–
	Сообщение от aaa (??) on 06-Апр-13, 23:10
	>>>> iptables -A OUTPUT -p tcp -m tcp --dport 80 -m owner --uid-owner >>>> 117 -j ACCEPT >>>> iptables -A OUTPUT -p tcp -m tcp --dport 80 -j DROP >>> Воот. Буду пробовать. Спс! >>> А цифра 117 что именно означает? >> 117 - идентификатор пользователя в моей системе. Вам надо подставить uid сквида > А как его узнать? Он не будет меняться при каждой загрузке системы > как pid ? Значение UID ставится в соответствие пользователю в файле /etc/passwd. http://ru.wikipedia.org/wiki/%D0%98%D0%B...
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	8. "Правило фаервола, завязанное на приложение"	+/–
	Сообщение от GlooM (??) on 06-Апр-13, 23:53
	> Значение UID ставится в соответствие пользователю в файле /etc/passwd. > http://ru.wikipedia.org/wiki/п≤п╢п╣п╫я┌п╦я└п╦п╨п╟я┌п╬я─_п©п╬п╩я▄п╥п╬п╡п╟я┌п╣п╩я▐ Вот спасибо! Отличное решение!
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	9. "Правило фаервола, завязанное на приложение"	+/–
	Сообщение от Слоупок (ok) on 08-Апр-13, 07:44
	> Вот спасибо! Отличное решение! Вы, конечно, извиняйте, но на мой взгляд отличным решением будет снести всю эту порнографию с RDP и поднять по-нормальному Squid.
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	10. "Правило фаервола, завязанное на приложение"	+/–
	Сообщение от GlooM (??) on 18-Апр-13, 17:38
	>> Вот спасибо! Отличное решение! > Вы, конечно, извиняйте, но на мой взгляд отличным решением будет снести всю > эту порнографию с RDP и поднять по-нормальному Squid. RDP сносить нельзя, так как поставлена строгая задача -  "ИНЕТ предоставлять только серверу, а от машин пользователей любые запросы в инет должны убиваться". Предоставленное выше решение отлично заработало, сервер с xrdp, локальным сквидом с авторизацией и этим запрещающим правилом (опирающемся на группу). Таким образом у нас есть сервер, подключенный к инету, к которому в свою очередь, подключаются пользователи и с удаленных рабочих столов сервера уже пользуются инетом. Так как каждому пользователю создана отдельная учетная запись при авторизации к сквиду, мы детально по логам видим кто что делал, несмотря на то, что пользуются они одним айпи (айпи сервера). Если пользователь решает в своих насройках браузера включить режим "БЕЗ ПРОКСИ" - его не пускает правило фаервола. Все работает как часы.
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	11. "Правило фаервола, завязанное на приложение"	+/–
	Сообщение от Аноним (??) on 18-Апр-13, 18:12
	>> Вы, конечно, извиняйте, но на мой взгляд отличным решением будет снести всю >> эту порнографию с RDP и поднять по-нормальному Squid. > RDP сносить нельзя, так как поставлена строгая задача -  "ИНЕТ предоставлять > только серверу, а от машин пользователей любые запросы в инет должны > убиваться". В чем разница? Кто Вас заставляет пакеты клиентов маршрутизоровать в инет, если им достаточно скуида.
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	12. "Правило фаервола, завязанное на приложение"	+/–
	Сообщение от Слоупок (ok) on 19-Апр-13, 10:08
	Похоже разница там в том, что начальник не ставит конечные цели, а лезет со своими указаниями в техническую реализацию. :)
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	14. "Правило фаервола, завязанное на приложение"	+/–
	Сообщение от GlooM14 (ok) on 20-Апр-13, 20:30
	> Похоже разница там в том, что начальник не ставит конечные цели, а > лезет со своими указаниями в техническую реализацию. :) Скорее - начальник хочет переложить проблемы, решаемые на административном уровне (увольнения, выговоры, лишения премий недобросовестных сотрудников), на "технические ограничения".
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

	13. "Правило фаервола, завязанное на приложение"	+/–
	Сообщение от GlooM14 (ok) on 20-Апр-13, 20:28
	> В чем разница? Дело все в том, что разница между исходящим трафиком, генерируемым сервером терминалов, и трафиком, генерируемым рабочей станцией пользователя весьма большая ;-))). Например, наставленный на рабочих компах пиратский софт стучится в инет, чтоб доложить о себе, а потом приходят предъявы от правообладателей ;-))). Но, в то же время, инет сотрудникам тоже нужен! А когда они будут коннектиться к инету с удаленного рабочего стола, посредством учетной записи, заведенной на сервере терминалов (на котором ничего, кроме бесплатного линупса и фаерфокса нет) - в инет будут исходить только пакеты с запросами веб-страниц -))).
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	15. "Правило фаервола, завязанное на приложение"	+/–
	Сообщение от Слоупок (ok) on 21-Апр-13, 07:56
	>> В чем разница? > Дело все в том, что разница между исходящим трафиком, генерируемым сервером терминалов, > и трафиком, генерируемым рабочей станцией пользователя весьма большая ;-))). Например, > наставленный на рабочих компах пиратский софт стучится в инет, чтоб доложить > о себе, а потом приходят предъявы от правообладателей ;-))). Но, в > то же время, инет сотрудникам тоже нужен! А когда они будут > коннектиться к инету с удаленного рабочего стола, посредством учетной записи, заведенной > на сервере терминалов (на котором ничего, кроме бесплатного линупса и фаерфокса > нет) - в инет будут исходить только пакеты с запросами веб-страниц > -))). Какое ловкое и изящное решение! Правда есть предположение, что этот ваш софт вряд-ли сумеет сам пройти аутентификацию на прокси.
	Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

	17. "Правило фаервола, завязанное на приложение"	+/–
	Сообщение от GlooM14 (ok) on 21-Апр-13, 18:33
	> Какое ловкое и изящное решение! Правда есть предположение, что этот ваш софт > вряд-ли сумеет сам пройти аутентификацию на прокси. Перестраховываются, знаете ли -))))
	Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема