LINUX.ORG.RU
ФорумAdmin

«Авторизация» в iptables ???

 ,


0

2

Есть беда такая - для проходки в интернеты у меня сквид с авторизацией, но проблема в том что всякое г.... например, плагины для ип-камер/регистраторов пытается лезть напрямую хоть что ты ему там ставь в настройках браузера о проксе, естественно все что не разрешено, то отбрасывается
как победить такую беду чтобы точно быть уверенным, что это пользователь решил так полезть наружу, а не вирусяка какая у него с шифровальщиком активность проявила

тот же форвардинг на 22 и 1723 порты открыт и это нервирует, а указывать внутренние ипы сети как то геморно кажется

wolverin ()

а что если использовать уже стоящий vpn (pptp)? по дефолту создаваемое подключение в виндах заворачивает весь трафик в него... и весь его как есть выкидывать за шлюз...

wolverin ()

Какой-нибудь видеопоток с камеры может вообще не работать по tcp, не говоря уж про http, и через прокси ты его никак не пустишь. Только разрешать доступ до определенного адреса/порта в iptables.

anonymous ()
Ответ на: комментарий от anonymous

до определенного тоже не вариант, куча камер-регистраторов множится и плодится, сейчас попробовал изнутри как вариант все в vpn (pptp) завернуть (раньше снаружи только использовал) - работает, если не найду иного варианта на том и остановлюсь

wolverin ()

Комфортно - никак. Посадить камеры в отдельный VLAN и пропускать его без проксей/авторизации.

berrywizard ★★★★★ ()

Либо запретить все и разрешать только то что надо, как и положено делать с точки дрения безопастности.

Либо разрешить все и резать что не надо...

Одной http прокси для полноценного доступа в интернет как правило не достаточно. Хоть много где именно так и реализуют...

samson ★★ ()
Ответ на: комментарий от wolverin

пользователи получают извне перечень адресов и хотят поглядеть

А точно получают список адресов :) ? А то: https://pierrekim.github.io/blog/2017-03-08-camera-goahead-0day.html

1250 моделей уязвимы: прошит стандартный root, хотя и он не нужен, тк есть дыра в http, хотя если только подсмотреть, то вообще ничего не нужно.

vodz ★★★★★ ()
Ответ на: комментарий от vodz

vodz

причем тут дыры в камерах? да, есть, НАПРИМЕР (хотя вопрос не только в этом), программа Безопасный город, в рамках нее наращивают мощности видеонаблюдения в городах, оттуда видео поток и хотят видеть за моим шлюзом, от меня никакие камеры в интернет НЕ ВЕЩАЮТ.

wolverin ()
Последнее исправление: wolverin (всего исправлений: 1)
Ответ на: комментарий от wolverin

причем тут дыры в камерах?

Там смайлик стоял.

Вообще, продолжая тему, можно сказать, что современный Интернет из кожи вон лезет, чтобы убрать у администраторов возможность хоть как-то рулить доступом, не через http(s)-only, так катаньем - проксировать что угодно через https, попутно вынуждая открывать и не только это. Так что остаётся одно - железно разграничивать Инет от работы, ну и разве что считая трафик и закрывая явно указанные ресурсы начальством, типа в фейсбук — не пущать.

Так что — смиритесь. Сегодня вы про камеры озаботились, завтра вам придётся открыть порты для какого-нибудь вебинара и пр.

vodz ★★★★★ ()
Ответ на: комментарий от wolverin

это смешно, для совсем глупых бухов если только

Это реальность. Если что-то представляет собой дуршлаг, то формально закрыть можно только указанные дырки либо все сразу и не про какие «камеры» тогда речи быть не может.

vodz ★★★★★ ()
Последнее исправление: vodz (всего исправлений: 1)
Ответ на: комментарий от vodz

vodz

как я уже писал выше - впн из локальной сети до шлюза кажется мне подходящей затеей, открыть только нужные порты с него наружу и должно работать

wolverin ()
Ответ на: комментарий от wolverin

впн из локальной сети до шлюза

А это то тут причём? vpn предназначен не для защиты, а для маршрутизации того, что при отсутствии vpn не маршрутизируется или маршрутизируется, но не желательно это делать в открытом виде.

vodz ★★★★★ ()
Ответ на: комментарий от wolverin

именно для маршрутизации и авторизации

Интересно, как это выглядит организационно? После поднятия vpn обычная работа невозможна? А под маршрутизацией вы понимаете доступ к NAT-серверу?

vodz ★★★★★ ()
Ответ на: комментарий от vodz

наверное невозможна, под маршрутизацией понимаю заворачивание всего (кроме локального) трафика в впн до шлюза, а на нем выход наружу

wolverin ()
Последнее исправление: wolverin (всего исправлений: 2)
Ответ на: комментарий от wolverin

наверное невозможна

Каким образом?

под маршрутизацией понимаю заворачивание всего

Тут явное использование терминов не по назначению. Маршрутизация ничего не заворачивает, а отправляет пришедшее через калитку в другую калитку. Потому оно и gateway. :)

vodz ★★★★★ ()
Ответ на: комментарий от vodz

Каким образом?

что каким образом? очевидно придется выпустить и обычный 80 и 443 порты и получать статистику самими таблесами

wolverin ()
Ответ на: комментарий от wolverin

что каким образом?

Вы только на последнее слово реагируете? Вопрос был какими организационными мерами работа в локальной сети запрещается и разрешается только работа в Интернет.

vodz ★★★★★ ()
Ответ на: комментарий от vodz

работа в локальной сети не запрещается, запрещается работа в интернет, если трафик интернетовский пойдет в впн, то просто не будет авторизации на проксе - насколько я это вижу сейчас

wolverin ()
Ответ на: комментарий от wolverin

Да ну вас нафиг. Попробуйте следить за контекстом и отвечать по нему. Спрашивалось зачем vnp, вы сказали для маршрутизации и аутентификации. А теперь выясняется, что работа в Интернет запрещается при поднятии vpn, а авторизация не в vpn, а в прокси. Иначе говоря не разговор, а какая-то чушь.

vodz ★★★★★ ()
Последнее исправление: vodz (всего исправлений: 1)
Ответ на: комментарий от vodz

вы слушайте что отвечают, а не вопросы задавайте и проблемы не будет
1. весь трафик интернетовский сейчас идет на проксю с авторизацией
2. необходимо выпустить трафик, например, до камер, которые не умеют через прокси
3. планирую поднимать для конкретных пользователей в локальной сети впн до шлюза, через который будет идти весь интернетовский трафик
вроде все понятно было еще в первом посте

wolverin ()
Ответ на: комментарий от wolverin

Вопрос был задан на ваше принятое решение из вопроса в первом посте. Задавать или не задавать — не вам решать, ваше дело либо не отвечать либо раз уж ответили, то можете получить уточняющий. Но когда вместо уточнения пошла какая-то каша, то начинаете выглядеть глупо.

vodz ★★★★★ ()
Ответ на: комментарий от wolverin

Да можете уже не утруждаться. Я уже понял, что вы не в состоянии понять простые связанные вопросы, что уж говорить об аллюзиях. Вы даже не распарсили, что ваш вопрос чисто техническими методами без организационных не решается.

vodz ★★★★★ ()
Ответ на: комментарий от wolverin

и чем же впн не решает проблему?

Про vpn я уже объяснял, он решает другие проблемы, ничем к указанной задачи не похожими. Не, ну чисто теоретически можно сделать скажем два vpn, одно для возможности работы в локалке, другое для работы в Инете, но получается эпичный костыль, как само решение в целом так и по ограничению поднятия два сразу.

vodz ★★★★★ ()
Ответ на: комментарий от vodz

из локалки зачем впн до локалки поднимать!? )) не требуется тут двух впн сразу

wolverin ()
Ответ на: комментарий от vodz

ладно, забудьте, вы там о чем то о своем только вам известном

wolverin ()
Ответ на: комментарий от wolverin

Честно говоря, я вот тоже никакого профита не увидел. Вот смотрите:
1. пользователь включает компутер
2. стартует впн вводит пароль для него
3. и радуется
Вопрос: зачем пункт два если разницы абсолютно никакой?

как победить такую беду чтобы точно быть уверенным, что это пользователь решил так полезть наружу, а не вирусяка какая у него с шифровальщиком активность проявила

Ваш вариант с впн «теже только в профиль» плюс лишняя сущность.

anc ★★★★★ ()
Ответ на: комментарий от wolverin

необходимо выпустить трафик, например, до камер, которые не умеют через прокси

Что за траффик? Разве камеры не через браузер смотрятся?

goingUp ★★★★★ ()
Ответ на: комментарий от anc

Вопрос: зачем пункт два если разницы абсолютно никакой?

разницы никакой с чем? с тем что иначе нужно будет указать ипы в локале и в интернетах?

wolverin ()
Последнее исправление: wolverin (всего исправлений: 1)
Ответ на: комментарий от goingUp

goingUp
через http прокси оно работать не может.

спасибо, но все ж в первом посте у меня написано

проблема в том что всякое г.... например, плагины для ип-камер/регистраторов пытается лезть напрямую хоть что ты ему там ставь в настройках браузера о проксе

но речь даже не конкретно про rtsp, потому как активыксы у камер-региков вообще не пойми через что поток пускают, вот последний случай поток шел на 9000 порт
вообщем то в теме не про это речь

wolverin ()
Ответ на: комментарий от wolverin

подумал я еще про впн, там же можно хттп в браузере так и отправлять на проксю, следовательно на шлюзе мне потребуется открыть только конкретно не проксируемые порты (554,9000 и тыды) для впн соединения

wolverin ()
Последнее исправление: wolverin (всего исправлений: 1)
Ответ на: комментарий от wolverin

разницы никакой с чем? с тем что иначе нужно будет указать ипы в локале и в интернетах?

Нам догадываться? Хорошо попытаюсь догадаться, не всем юзверам в локалке доступен инет, ок, тогда можно воспользоваться опытом hotspot, это правильнее чем «городить огород с впн».

Но все равно, какое отношение это имеет к:

чтобы точно быть уверенным, что это пользователь решил так полезть наружу, а не вирусяка какая у него с шифровальщиком активность проявила

anc ★★★★★ ()
Ответ на: комментарий от anc

можно воспользоваться опытом hotspot, это правильнее чем «городить огород с впн».

а это разве не тот же впн но с боку?

какое отношение это имеет к

так самое прямое

wolverin ()
Ответ на: комментарий от anc

anc

а или вас интересует как «полузакрытый» интернет влияет на защиту от вирусов? )) так даунлоадерам сложнее скачать что не надо, а шифровальщикам ключ выслать на сайт злоумышленника

wolverin ()
Ответ на: комментарий от wolverin

а это разве не тот же впн но с боку?

Неа. Я про самый простой вариант, аля отели. Юзер заходит на web страницу вводит логин с паролем, профит. Технически, самое распространенное без всяких умных железок, для ip юзвера просто добавляются разрешающие правила в fw. По каким критериям убирать правила, время/деньги, тут уж каждый решает сам.
Создавать vpn внутри локалки, это в том числе доп. нагрузка на оборудование. И неудобство в виде необходимости настройки на каждом клиенте.

а или вас интересует как «полузакрытый» интернет влияет на защиту от вирусов? )) так даунлоадерам сложнее скачать что не надо, а шифровальщикам ключ выслать на сайт злоумышленника

Еще раз повторю если вы не поняли, как ваш vpn от этого защитит? Внимательно читаем что я написал «Авторизация» в iptables ??? (комментарий)

anc ★★★★★ ()
Ответ на: комментарий от anc

как ваш vpn от этого защитит? Внимательно читаем что я написал

так я уже написал как, если проблема в том что впн всегда поднят? так он поднят только до следующего включения пк

wolverin ()
Последнее исправление: wolverin (всего исправлений: 1)
Ответ на: комментарий от anc

для ip юзвера просто добавляются разрешающие правила в fw

спасибо, посмотрю... а не подскажите может какие то конкретные пакеты для debian, это было бы удобно конечно, просто рисовать самому такое лениво, если уже есть такой велосипед )

wolverin ()
Последнее исправление: wolverin (всего исправлений: 1)
Ответ на: комментарий от wolverin

так я уже написал как, если проблема в том что впн всегда поднят? так он поднят только до следующего включения пк

Правильно, т.е. всегда. Вы читать умеете? Ваш вариант в части разговора о «вирях» полностью аналогичен прописыванию правил в iptables на роутере для ip этого компа, ну разве что небольшой таймаут между поднятием сети на компе пользователя и стартом им же vpn.

anc ★★★★★ ()
Ответ на: комментарий от anc

всегда. Вы читать умеете?

вот именно что не всегда, зачем пользователю подключаться каждый раз, ему только когда камеры посмотреть, после перезапуска опять поднимать не будут

wolverin ()
Ответ на: комментарий от wolverin

Неа, не подскажу. Давно этим занимался, даже что брал за основу уже не помню, но напильником в любом случае допиливать надо будет. Мне вообще тогда убер нестандартную хрень надо было изобрести, причем емнип в срок меньше двух дней (тем кому это поручили полгода балду пинали и все всплыло в последний день).
Погуглите что сейчас из модного есть в этой части. По крайней мере судя по одним и тем же отелям, софт сильно продвинулся и зная лень их админов скорее с минимальным допилом внедряют.

anc ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.