Iptables и фильтрация трафика от бедных и ленивых инакомыслящих

[MKMatriX]

А почему это блокирует Opera VPN, плагины типа friGate и телеметрию от Майкрософт? Добавили их адреса в черный список?

[avk013]

с правильными текстовыми файлами это действительно блокирует указанные сервисы, показана схема, а не детальный рецепт

[MKMatriX]

Меня не интересуют блокировки, а лишь способы сохранения своего доступа. Понятно что в фирму с ограничениями я не пойду, но вдруг начальство что придумает. Резюме: для меня ничего фатального, админы не часто обновляют список адресов vpn.

[avk013]

Отдельный туннель для себя можно сделать, я дополнительно игрался с конкретным IP в цепочке но прямо сейчас сказать не могу, у нас этот канал для всех, а «не все» пользуются альтернативным :)

[FNkey]

Зачем городить такой огород, когда можно было запретить весь трафик наружу через NAT, пускать пользователей только на http/-s через прокси (тот же squid) и уже на прокси делать черные списки?

[avk013]

приготовление прокси требует дополнительных затрат по памяти и быстродействию того же железа и дисков, не скрою возможно я «не умею их правильно готовить», но тонкие настройки ACL нас пока не интересуют, подмена сертификата тоже, согласен что в нашем варианте просто топорная работа.

[gecube]

В большом энтерпрайзе проблема решена даже прозрачным прокси с подменой сертификата. Все рабочие машины введены в домен или аналогично и везде разлит свой внутренний корневой. Видел такую схему неоднократно. Работает.
На границе стоит какая-нибудь циска, Форти или CheckPoint, который и бдит за пользователя.
У Вас же походу какой-то маленький энтерпрайз, раз приходится из говна и палок собирать схему.

Ещё очень интересно влияние правил на производительность. Почему не ipset? Почему не bpf? Говорят, что они значительно снижают нагрузку на cpu и уменьшают латентность при обработке пакетов.

Насчёт сертификата безопасности пассаж не понял. Т.е. микротики и тп-линки вкупе с центос Вы можете использовать, причем сертификатов у них нет и не одни быть, а коробку российского производства или от серьезного вендора позволить не можете? Очень странный подход, прямо скажу.

[kvazimoda24]

Как решаете вопрос посещения запрещённых сайтов с личных мобильных устройств сотрудников непользующихся фирменным Wi-Fi?

[avk013]

К примеру: как бороться со списыванием на коллоквиумах у студентов:)? Да, реально знаю случаи, когда ставили самодельные глушилки.
Мы отвечаем только за свой фронт работ, на остальное — подписываются бумаги в кадрах :) и относится к информационной безопасности и ответственным за это человеком, могу только рассказать про общее негодование части коллектива, когда в некоторых случаях, включают спецсредства, как результат перестают работать беспроводные клавиатуры, wifi и т.п. но повторюсь, конкретно эти мероприятия вне нашего влияния — каждый занимается своей работой.

[kvazimoda24]

Я, конечно, не знаю в какой сфере трудится ваша компания, и вполне допускаю, что в некоторых случаях оправданы и глушилки, и запреты на любую стороннюю электронику на рабочем месте. Но так же сталкивался и с неоправданными перегибами со стороны руководства. Когда работа персонала зависит от количества клиентов, и если клиента нет, то у сотрудника практически нет работы, но руководство требовало и запретов доступа к некоторым сайтам, и установки на компьютеры клавиатурных логгеров… В результате, сотрудники сидели либо в телефонах прям на рабочем месте, либо, если руководство ещё и камеры мониторило, в туалете/раздевалке.

[dinarv]

а такой запрет вообще законен?
кому какое дело, чем пользуется человек на личном устройстве с индивидуальным интернет-каналом?

[gecube]

Сдавать личные устройства связи на входе на предприятие ) ибо нефиг. Угроза ИБ. Я уж не говорю о том, если объект режимный в строгом смысле этого слова.

[dinarv]

ну про «сдавать» то понятно. но написано же про ограничение доступа в какие-то запрещенные ресурсы с личных устройств на рабочем месте.

[avk013]

кажется это больше юридический вопрос о договоренностях между работодателем и рабочим, условиях работы и правилах использования личных устройств

[Tibor128]

поздравляю Карл, Вы только что изобрели прокси

[avk013]

«Завтра Мы начинаем жить по новому» — стратегическое решение. «Сделай этакое, но чтобы работало и уже завтра» — будни говнокода.

[Minipyh]

у меня около 20 pfSense в пограничниках с балансировкой каналов. Не было ещё ни одной задачи с которой бы он не справился. А в файервол через CLI ходил лишь единожды забыв создать правило заранее. Вы батенька чушь несёте.

[avk013]

дело в руках, согласен, если у меня десяток линуксовых серверов, с разными дистрибутивами, то как раз, разбавить их FreeBSD это та самая изюминка, после которой меняется мировоззрение.