iptables

Programmazione e Server Server
#21

Bloccando anche l’accesso a quel sito e a quelli equivalenti

#22

Temevo fosse così!
Di fatto quindi è praticamente impossibile ?

#23

Sai com’e’… Fatta la legge trovato l’inganno!

Puoi “limitare” le connessioni indesiderate, ma non pensare di bloccarle al 100%, è impossibile

#24

E cambiare la politica predefinita da “ACCEPT” a “DROP”?

# iptables -P OUTPUT DROP

in questo modo si invertirebbe la filosofia delle regole da:
“Consentire tutto il traffico tranne quello che è esplicitamente negato”
a
“Negare tutto il traffico tranne quello che è esplicitamente concesso”

Potrebbe essere una miglioria?

#25

… e se dimentichi di dare i permessi a qualcosa ?
potrebbe essere oneroso, relativamente all’uso della tua macchina, prevedere tutte le possibilità…

( stai diventando un maniaco della sicurezza dopo aver visto che cosa ti può succedere… :slight_smile: )

#26

Si effettivamente ci ho pensato e proprio per questo mi sembrava difficilmente attuabile.

:hammer:

#27

Ciao

Ma perché ti accanisci sulle regole del firewall?? non ti conviene installare squid + squidguard.

Puoi installarlo sia a livello di server che di macchina desktop senza particolari problemi ed in modo completamente trasparente.

Ciao Ciao, Moreno

#28

Ciao Moreno!
No, non mi sto accanendo con le regole di iptables, semplicemente zvonee ha chiesto come impostare una regola di iptables per impedire di andare su siti come facebook, ma avendo aggirato la regola con una facilità disarmante mi sono chiesto come , sempre con iptables , si possa evitare che ciò possa accadere.
Squid è un po’ che non lo adopero , dici che non si riesce ad ovviare alle restrizioni con tanta facilità? Al momento non posso provare.

#29

Ma il problema di base quale diavolo è?
Perche’ volete chiudere l’accesso al sito tal dei tali piuttosto che al sito zzz?

Per tutelare i vostri figli? Allora state con loro quando navigano su internet.

Per evitare che i dipendenti giochino durante le ore di lavoro? Ahahah, mi vien da ridere tre volte. E’ questo davvero il problema? Allora cambiate dipendenti, perché qualsiasi policy vi inventiate non servirà a nulla.

ps: se invece la domanda è puramente tecnica, da puro tecnico faro’ di tutto per rispondere ed aiutare a chiudere cio’ che si vuol chiudere…

#30

E’ un po’ che non lo faccio per cui è con grande onore che dico:

straquoto zoddolo!

#31

[quote=mailga]
E’ un po’ che non lo faccio per cui è con grande onore che dico:

straquoto zoddolo![/quote]

eheheh graazie.
Non volevo sembrare particolarmente “acido”, eh? sia chiaro. Pero’ dico “ok chiudiamo porte xxx, zzz, bla bla bla” affinche’ tizio mio dipendente non si colleghi a “xxx, zzz o bla bla bla”
Dipendente e’ furbo e si collega al suo pc di casa (guarda caso ho chiuso tutto tranne che RDP WINZOZ) e fa di tutto di piu’ dal suo pc.

Con questo non voglio assolutamnente dire che sia sbagliato tentare di gestire cosa facciano i propri dipendenti (anche se poi, in caso di causa, come minimo qualsiasi giudice [pretore] in primo grado, darebbe ragione al dipendente, arrampicandosi sui vetri se servisse)…

Il mio intervento era solo mirato a dire quanto segue: qualsiasi cosa ci si inventi (per qualsivoglia motivo) per limitare qualcosa, esisterà sempre il modo di bypassarlo. Allora forse è meglio parlare con chi “bypassa” pittosto che chiudergli le porte. Purtroppo quest’ultima soluzione si è sempre dimostrata infefficace.

Scusate l’intevento. il discorso sarebbe davvero lunghissimo e io, anche se forse non si è capito da quanto ho finora scritto , sono dalla parte del “datore di lavoro che chiude le porte ai dipendenti”. Il problema è che non serve a nulla…

#32

[quote]
Zod ha detto:
Perche’ volete chiudere l’accesso al sito tal dei tali piuttosto che al sito zzz?[/quote]
Non so quale sia l esigenza di zvonee… io non ho necessità di bloccare nulla :-), lo chiedevo solo per interesse tecnico.

[quote]
Zod ha detto:
Non volevo sembrare particolarmente “acido”, eh?[/quote]
Figurati Zod ,si sta discutendo e ascoltarti è sempre un piacere.

Be, di curiosità me ne avete tolte un po’ ,spero che zvonee non rimanga troppo deluso dalla facilità con cui si potranno aggirare le regole da lui impostate

#33

…se lo dici tu :slight_smile:
A me non piace ascoltarmi! Ma voi siete troppo buoni!
eheheheh

Ciao!

#34

Scusate, non volevo scatenare una discussione così…
sinceramente lo faccio principalmente per due ragioni, la prima è puramente per curiosità tecnica inquanto è una macchina che in casi estremi dovrei ‘gestire’ io…
la seconda è perché il datore mi ha imposto di farlo (pur avendolo messo a conoscenza che il tutto è bypassabile)…
Io cmq sono dalla parte del dipendente che lavora e del datore che garantisce uno stipendio :stuck_out_tongue:

Il gestore cmq, ha detto che tramite squid proxy non sarà più possibile utilizzare nessun sw p2p e saranno filtrate anche tutte le connessioni a siti che consumano la banda e siti diciamo non tanto fini al lavoro…
Cmq sto cercando di approfondire l’argomento con l’ottima guida da voi consigliatami e poi spero sempre di avere un aiuto da persone come voi, che permettono a chiunque di poter apprendere senza limiti o pregiudizi, in linea con la filosofia opensource :slight_smile:
Grazie ancora di tutto

P.S.sono cmq dell’opinione che se si vuole cazzeggiare lo si può fare anche scaccolandosi tutto il giorno :smiley: non serve l’uso del PC, ma aimè molti dipendenti sono intoccabili :frowning:

#35

[quote]
Il gestore cmq, ha detto che tramite squid proxy non sarà più possibile utilizzare nessun sw p2p e saranno filtrate anche tutte le connessioni a siti che consumano la banda e siti diciamo non tanto fini al lavoro…[/quote]
Squid è un server proxy http principalmente, se non avete una necessità lavorativa e chiudete le porte per protocolli p2p non vedo dove stia il problema.
In qualsiasi caso puoi sempre configurare il tuo server come un proxy http ed aprire le porte per il p2p, ovviamente con tutti i rischi annessi e connessi.

Ciao

#36

Esatto non c’è nessun problema…infatti il p2p non serve per i nostri fini lavorativi e provoca non pochi problemi per il consumo della banda.
Solo una cosa ti chiedo MarioS, non ci sarà nessun rallentamento per la navigazione, la posta, gli aggiornamenti e quant’altro sia consono per lo svolgimento del lavoro vero?
Ciao

#37

Allora la posta in teoria non dovresti farla passare per squid, fai un forward delle porte, a meno che non abbiate un vostro server di posta.
Per tutto quello che concerne la velocità di navigazione e lo sfruttamento del protocollo http non dovreste avere nessun rallentamento se avete configurato correttamente squid, anzi, dovreste pure notare un miglioramento per il consumo della banda (in squid si può configurare una cache in modo che mantenga sul server ad esempio le immagini scaricate da una pagina web, se due o più utenti richiedono quelle immagini squid le ha già in memoria e non è necessario andarle a prelevare nuovamente, il traffico diminuisce e le richieste sono più immediate).

Ciao

#38

quindi dovrei fare un forwarding della 25 e della 110 per far accedere gli utenti agli account esterni all’azienda giusto?
Grazie

P.S.una domanda un po’offtopic, ho un problema con webmin…alcune caselle quando si riempiono si bloccano, esiste un’impostazione per far sovrascrivere i messaggi più vecchi quando ne arrivano di più recenti?

#39

un problema una discussione.

#40

ok, scusatemi :oops:
…apro un altro topic