LINUX.ORG.RU
ФорумAdmin

«Авторизация» в iptables ???

 ,


0

2

Есть беда такая - для проходки в интернеты у меня сквид с авторизацией, но проблема в том что всякое г.... например, плагины для ип-камер/регистраторов пытается лезть напрямую хоть что ты ему там ставь в настройках браузера о проксе, естественно все что не разрешено, то отбрасывается
как победить такую беду чтобы точно быть уверенным, что это пользователь решил так полезть наружу, а не вирусяка какая у него с шифровальщиком активность проявила

★★★

тот же форвардинг на 22 и 1723 порты открыт и это нервирует, а указывать внутренние ипы сети как то геморно кажется

wolverin ★★★
() автор топика

а что если использовать уже стоящий vpn (pptp)? по дефолту создаваемое подключение в виндах заворачивает весь трафик в него... и весь его как есть выкидывать за шлюз...

wolverin ★★★
() автор топика

Какой-нибудь видеопоток с камеры может вообще не работать по tcp, не говоря уж про http, и через прокси ты его никак не пустишь. Только разрешать доступ до определенного адреса/порта в iptables.

anonymous
()
Ответ на: комментарий от anonymous

до определенного тоже не вариант, куча камер-регистраторов множится и плодится, сейчас попробовал изнутри как вариант все в vpn (pptp) завернуть (раньше снаружи только использовал) - работает, если не найду иного варианта на том и остановлюсь

wolverin ★★★
() автор топика

Комфортно - никак. Посадить камеры в отдельный VLAN и пропускать его без проксей/авторизации.

berrywizard ★★★★★
()

Либо запретить все и разрешать только то что надо, как и положено делать с точки дрения безопастности.

Либо разрешить все и резать что не надо...

Одной http прокси для полноценного доступа в интернет как правило не достаточно. Хоть много где именно так и реализуют...

samson ★★
()
Ответ на: комментарий от wolverin

пользователи получают извне перечень адресов и хотят поглядеть

А точно получают список адресов :) ? А то: https://pierrekim.github.io/blog/2017-03-08-camera-goahead-0day.html

1250 моделей уязвимы: прошит стандартный root, хотя и он не нужен, тк есть дыра в http, хотя если только подсмотреть, то вообще ничего не нужно.

vodz ★★★★★
()
Ответ на: комментарий от vodz

vodz

причем тут дыры в камерах? да, есть, НАПРИМЕР (хотя вопрос не только в этом), программа Безопасный город, в рамках нее наращивают мощности видеонаблюдения в городах, оттуда видео поток и хотят видеть за моим шлюзом, от меня никакие камеры в интернет НЕ ВЕЩАЮТ.

wolverin ★★★
() автор топика
Последнее исправление: wolverin (всего исправлений: 1)
Ответ на: комментарий от wolverin

причем тут дыры в камерах?

Там смайлик стоял.

Вообще, продолжая тему, можно сказать, что современный Интернет из кожи вон лезет, чтобы убрать у администраторов возможность хоть как-то рулить доступом, не через http(s)-only, так катаньем - проксировать что угодно через https, попутно вынуждая открывать и не только это. Так что остаётся одно - железно разграничивать Инет от работы, ну и разве что считая трафик и закрывая явно указанные ресурсы начальством, типа в фейсбук — не пущать.

Так что — смиритесь. Сегодня вы про камеры озаботились, завтра вам придётся открыть порты для какого-нибудь вебинара и пр.

vodz ★★★★★
()
Ответ на: комментарий от wolverin

это смешно, для совсем глупых бухов если только

Это реальность. Если что-то представляет собой дуршлаг, то формально закрыть можно только указанные дырки либо все сразу и не про какие «камеры» тогда речи быть не может.

vodz ★★★★★
()
Последнее исправление: vodz (всего исправлений: 1)
Ответ на: комментарий от vodz

vodz

как я уже писал выше - впн из локальной сети до шлюза кажется мне подходящей затеей, открыть только нужные порты с него наружу и должно работать

wolverin ★★★
() автор топика
Ответ на: комментарий от wolverin

впн из локальной сети до шлюза

А это то тут причём? vpn предназначен не для защиты, а для маршрутизации того, что при отсутствии vpn не маршрутизируется или маршрутизируется, но не желательно это делать в открытом виде.

vodz ★★★★★
()
Ответ на: комментарий от wolverin

именно для маршрутизации и авторизации

Интересно, как это выглядит организационно? После поднятия vpn обычная работа невозможна? А под маршрутизацией вы понимаете доступ к NAT-серверу?

vodz ★★★★★
()
Ответ на: комментарий от vodz

наверное невозможна, под маршрутизацией понимаю заворачивание всего (кроме локального) трафика в впн до шлюза, а на нем выход наружу

wolverin ★★★
() автор топика
Последнее исправление: wolverin (всего исправлений: 2)
Ответ на: комментарий от wolverin

наверное невозможна

Каким образом?

под маршрутизацией понимаю заворачивание всего

Тут явное использование терминов не по назначению. Маршрутизация ничего не заворачивает, а отправляет пришедшее через калитку в другую калитку. Потому оно и gateway. :)

vodz ★★★★★
()
Ответ на: комментарий от vodz

Каким образом?

что каким образом? очевидно придется выпустить и обычный 80 и 443 порты и получать статистику самими таблесами

wolverin ★★★
() автор топика
Ответ на: комментарий от wolverin

что каким образом?

Вы только на последнее слово реагируете? Вопрос был какими организационными мерами работа в локальной сети запрещается и разрешается только работа в Интернет.

vodz ★★★★★
()
Ответ на: комментарий от vodz

работа в локальной сети не запрещается, запрещается работа в интернет, если трафик интернетовский пойдет в впн, то просто не будет авторизации на проксе - насколько я это вижу сейчас

wolverin ★★★
() автор топика
Ответ на: комментарий от wolverin

Да ну вас нафиг. Попробуйте следить за контекстом и отвечать по нему. Спрашивалось зачем vnp, вы сказали для маршрутизации и аутентификации. А теперь выясняется, что работа в Интернет запрещается при поднятии vpn, а авторизация не в vpn, а в прокси. Иначе говоря не разговор, а какая-то чушь.

vodz ★★★★★
()
Последнее исправление: vodz (всего исправлений: 1)
Ответ на: комментарий от vodz

вы слушайте что отвечают, а не вопросы задавайте и проблемы не будет
1. весь трафик интернетовский сейчас идет на проксю с авторизацией
2. необходимо выпустить трафик, например, до камер, которые не умеют через прокси
3. планирую поднимать для конкретных пользователей в локальной сети впн до шлюза, через который будет идти весь интернетовский трафик
вроде все понятно было еще в первом посте

wolverin ★★★
() автор топика
Ответ на: комментарий от wolverin

Вопрос был задан на ваше принятое решение из вопроса в первом посте. Задавать или не задавать — не вам решать, ваше дело либо не отвечать либо раз уж ответили, то можете получить уточняющий. Но когда вместо уточнения пошла какая-то каша, то начинаете выглядеть глупо.

vodz ★★★★★
()
Ответ на: комментарий от wolverin

Да можете уже не утруждаться. Я уже понял, что вы не в состоянии понять простые связанные вопросы, что уж говорить об аллюзиях. Вы даже не распарсили, что ваш вопрос чисто техническими методами без организационных не решается.

vodz ★★★★★
()
Ответ на: комментарий от wolverin

и чем же впн не решает проблему?

Про vpn я уже объяснял, он решает другие проблемы, ничем к указанной задачи не похожими. Не, ну чисто теоретически можно сделать скажем два vpn, одно для возможности работы в локалке, другое для работы в Инете, но получается эпичный костыль, как само решение в целом так и по ограничению поднятия два сразу.

vodz ★★★★★
()
Ответ на: комментарий от vodz

из локалки зачем впн до локалки поднимать!? )) не требуется тут двух впн сразу

wolverin ★★★
() автор топика
Ответ на: комментарий от vodz

ладно, забудьте, вы там о чем то о своем только вам известном

wolverin ★★★
() автор топика
Ответ на: комментарий от wolverin

Честно говоря, я вот тоже никакого профита не увидел. Вот смотрите:
1. пользователь включает компутер
2. стартует впн вводит пароль для него
3. и радуется
Вопрос: зачем пункт два если разницы абсолютно никакой?

как победить такую беду чтобы точно быть уверенным, что это пользователь решил так полезть наружу, а не вирусяка какая у него с шифровальщиком активность проявила

Ваш вариант с впн «теже только в профиль» плюс лишняя сущность.

anc ★★★★★
()
Ответ на: комментарий от wolverin

необходимо выпустить трафик, например, до камер, которые не умеют через прокси

Что за траффик? Разве камеры не через браузер смотрятся?

goingUp ★★★★★
()
Ответ на: комментарий от anc

Вопрос: зачем пункт два если разницы абсолютно никакой?

разницы никакой с чем? с тем что иначе нужно будет указать ипы в локале и в интернетах?

wolverin ★★★
() автор топика
Последнее исправление: wolverin (всего исправлений: 1)
Ответ на: комментарий от anonymous

Марш читать про rtp/rtsp

иногда лучше жевать

wolverin ★★★
() автор топика
Ответ на: комментарий от goingUp

goingUp
через http прокси оно работать не может.

спасибо, но все ж в первом посте у меня написано

проблема в том что всякое г.... например, плагины для ип-камер/регистраторов пытается лезть напрямую хоть что ты ему там ставь в настройках браузера о проксе

но речь даже не конкретно про rtsp, потому как активыксы у камер-региков вообще не пойми через что поток пускают, вот последний случай поток шел на 9000 порт
вообщем то в теме не про это речь

wolverin ★★★
() автор топика
Ответ на: комментарий от wolverin

подумал я еще про впн, там же можно хттп в браузере так и отправлять на проксю, следовательно на шлюзе мне потребуется открыть только конкретно не проксируемые порты (554,9000 и тыды) для впн соединения

wolverin ★★★
() автор топика
Последнее исправление: wolverin (всего исправлений: 1)
Ответ на: комментарий от wolverin

разницы никакой с чем? с тем что иначе нужно будет указать ипы в локале и в интернетах?

Нам догадываться? Хорошо попытаюсь догадаться, не всем юзверам в локалке доступен инет, ок, тогда можно воспользоваться опытом hotspot, это правильнее чем «городить огород с впн».

Но все равно, какое отношение это имеет к:

чтобы точно быть уверенным, что это пользователь решил так полезть наружу, а не вирусяка какая у него с шифровальщиком активность проявила

anc ★★★★★
()
Ответ на: комментарий от anc

можно воспользоваться опытом hotspot, это правильнее чем «городить огород с впн».

а это разве не тот же впн но с боку?

какое отношение это имеет к

так самое прямое

wolverin ★★★
() автор топика
Ответ на: комментарий от anc

anc

а или вас интересует как «полузакрытый» интернет влияет на защиту от вирусов? )) так даунлоадерам сложнее скачать что не надо, а шифровальщикам ключ выслать на сайт злоумышленника

wolverin ★★★
() автор топика
Ответ на: комментарий от wolverin

а это разве не тот же впн но с боку?

Неа. Я про самый простой вариант, аля отели. Юзер заходит на web страницу вводит логин с паролем, профит. Технически, самое распространенное без всяких умных железок, для ip юзвера просто добавляются разрешающие правила в fw. По каким критериям убирать правила, время/деньги, тут уж каждый решает сам.
Создавать vpn внутри локалки, это в том числе доп. нагрузка на оборудование. И неудобство в виде необходимости настройки на каждом клиенте.

а или вас интересует как «полузакрытый» интернет влияет на защиту от вирусов? )) так даунлоадерам сложнее скачать что не надо, а шифровальщикам ключ выслать на сайт злоумышленника

Еще раз повторю если вы не поняли, как ваш vpn от этого защитит? Внимательно читаем что я написал «Авторизация» в iptables ??? (комментарий)

anc ★★★★★
()
Ответ на: комментарий от anc

как ваш vpn от этого защитит? Внимательно читаем что я написал

так я уже написал как, если проблема в том что впн всегда поднят? так он поднят только до следующего включения пк

wolverin ★★★
() автор топика
Последнее исправление: wolverin (всего исправлений: 1)
Ответ на: комментарий от anc

для ip юзвера просто добавляются разрешающие правила в fw

спасибо, посмотрю... а не подскажите может какие то конкретные пакеты для debian, это было бы удобно конечно, просто рисовать самому такое лениво, если уже есть такой велосипед )

wolverin ★★★
() автор топика
Последнее исправление: wolverin (всего исправлений: 1)
Ответ на: комментарий от wolverin

так я уже написал как, если проблема в том что впн всегда поднят? так он поднят только до следующего включения пк

Правильно, т.е. всегда. Вы читать умеете? Ваш вариант в части разговора о «вирях» полностью аналогичен прописыванию правил в iptables на роутере для ip этого компа, ну разве что небольшой таймаут между поднятием сети на компе пользователя и стартом им же vpn.

anc ★★★★★
()
Ответ на: комментарий от anc

всегда. Вы читать умеете?

вот именно что не всегда, зачем пользователю подключаться каждый раз, ему только когда камеры посмотреть, после перезапуска опять поднимать не будут

wolverin ★★★
() автор топика
Ответ на: комментарий от wolverin

Неа, не подскажу. Давно этим занимался, даже что брал за основу уже не помню, но напильником в любом случае допиливать надо будет. Мне вообще тогда убер нестандартную хрень надо было изобрести, причем емнип в срок меньше двух дней (тем кому это поручили полгода балду пинали и все всплыло в последний день).
Погуглите что сейчас из модного есть в этой части. По крайней мере судя по одним и тем же отелям, софт сильно продвинулся и зная лень их админов скорее с минимальным допилом внедряют.

anc ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.