|
Внимание! Теперь для входа на форум необходимо вводить единый пароль регистрации сервисов sibnet.ru!
Здравствуйте, гость ( Вход | Регистрация )
Сейчас обсуждают
 
| |
|
|
Выборочная блокировка интернета |
|
|
Jek |
31.7.2016, 11:20
|
Группа: Супермодераторы
Сообщений: 16 245
Регистрация: 27.9.2007
Из: N44.785780 E37.385650 WEB: https://irc.k-42.ru IRC: irc.sibnet.ru #iclub
Пользователь №: 6 588
Репутация: 1855
|
Простых способов нет. Есть более-менее простой, если готов отказаться от TeamViewer-а, WiFi и 3г. 1. Создаёшь на другой машине в сети локальное зеркало обновлений для антивируса ( пример), после чего расшариваешь папку с обновлениями и указываешь её в качестве источника обновлений на заблокированном компьютере. Можно сделать иначе - посмотреть, какой используется сервер для обновлений в настройках антивирусной программы, пробить его IP, внести соответствующую запись в hosts и прописать постоянный статический маршрут до IP через основной шлюз. 2. Приобретаешь статический IP-адрес для того компьютера, с которого ты планируешь заходить по RDP. 3. Делаешь на роутере проброс для RDP. 4. На заблокированном компьютере прописываешь постоянный статический маршрут до IP, с которого будешь заходить по RDP. 5. Удаляешь основной шлюз и DNS-ы на заблокированном компьютере. При необходимости на шлюзе можно поправить фаервол, чтобы шаловливая бухгалтерша не смогла получить доступ в интернет, прописав шлюз и DNS-ы. Хотя можно для этих целей создать урезанную в правах учётку на компьютере. А лучше всё-таки обратиться к своему системному администратору. Кстати, ищу работу .
» Спасибо сказали: «
|
|
|
|
Jek |
31.7.2016, 18:54
|
Группа: Супермодераторы
Сообщений: 16 245
Регистрация: 27.9.2007
Из: N44.785780 E37.385650 WEB: https://irc.k-42.ru IRC: irc.sibnet.ru #iclub
Пользователь №: 6 588
Репутация: 1855
|
Так будет отключен только браузер, причём настраивать придётся почти все браузеры, ибо настройки MSIE использует только хром. Любые другие программы, которые захотят выйти в интернет (вирусы, трояны, тундербёрды, IRC-клиенты, Telegram, WebMoney, командная строка, что-то самописное, etc) - не увидят никаких проблем и воспользуются шлюзом. Если устроит блокировка только одного браузера - можно, конечно, воспользоваться этой полумерой. От 3G/WiFi можно не отказываться, но тогда у соединения по WiFi и по проводу должен быть однаковый шлюз, и 3г-свисток тоже должен быть установлен на этом же шлюзе, например, в качестве резервного канала (роутеры, которые так умеют, стоят недёшево). Иначе придётся при каждом включении/отключении свистка переписывать маршруты на другой шлюз. Как конкретно работает TeamViewer - я не подскажу, не разбирался, но есть основания полагать, что он общается с таким количеством серверов, что ты замучаешься делать для него дырки. Возможно, на их сайте можно найти информацию о том, с какими хостами ему нужно соединяться. Можно по-другому заморочиться - поднять в сети прокси или SOCKS и настроить нужные программы для работы через этот прокси. Основной шлюз при этом нужно убрать. Но в этом случае будет проблематично заюзать RDP (если только через другой компьютер в этой же сети). Можно ещё несколько вариантов придумать, но ни один из них не будет простым .
» Спасибо сказали: «
|
|
|
|
Neznаyka |
1.8.2016, 22:25
|
Группа: Пользователи
Сообщений: 747
Регистрация: 8.6.2012
Пользователь №: 436 214
Репутация: 67
|
Цитата(IDE7 @ 31.7.2016, 11:23) Такая задача : нужно заблокировать на компьютере интернет , но оставить доступ для средств удалённого доступа : TeamViewer , RDP ,.. Так же оставить возможность обновления баз для антивирусной программы. ОС - Windows 7 (8). Интернет на компьютер может подаваться через WiFi , мобильный модем , кабель.
Желательны простые способы
Для этого достаточно воспользоваться встроенным файрволом (aka «Брандмауэр Windows», aka консольный Netsh). Справочно: сохранить настройки файрвола можно командой Код netsh advfirewall export "c:\FirewallSettings.wfw"
при необходимости сохранённые в файле настройки восстанавливаются командой Код netsh advfirewall import "c:\FirewallSettings.wfw"
Если есть желание, можно посмотреть справку по Netsh – в православной консоли задача решается в несколько команд. В графическом интерфейсе это делается так (на примере WIN7: Панель управления/ Брандмауэр Windows/ Дополнительные параметры): – блокируюся исходящие подключения, не указанные в правилах » Спойлер (нажмите, чтобы прочесть) « (консольный аналог netsh advfirewall set allprofiles firewallpolicy blockinbound,blockoutbound) – при необходимости в правила для исходящего подключения добавляем разрешающее правило для антивирусной программы, при необходимости отключаем разрешающие правила для нежелательных программ (например µTorrent) – при необходимости в правилах для входящих подключений отключаем разрешающие правила для нежелательных программ. Разрешающие правила для TeamViewer и RDP уже прописаны. Пользователь без административных прав не сможет отключить файрвол/изменить правила. Вышеуказанное при должной сноровке займёт несколько минут.
» Спасибо сказали: «
|
|
|
|
Neznаyka |
2.8.2016, 15:33
|
Группа: Пользователи
Сообщений: 747
Регистрация: 8.6.2012
Пользователь №: 436 214
Репутация: 67
|
Цитата(Jek @ 1.8.2016, 23:36) Ага, только предварительно придётся KIS снести
Возможно автор сообщил тебе, что используется именно KIS, но в теме об этом не cказано. Не пользуюсь этим продуктом, не подскажешь, есть ли возможность: – настроить файрвол KIS таким образом, чтобы заблокировать доступ в инет – отключить файрвол KIS, предоставив контроль встроенному.
|
|
|
|
Jek |
2.8.2016, 16:31
|
Группа: Супермодераторы
Сообщений: 16 245
Регистрация: 27.9.2007
Из: N44.785780 E37.385650 WEB: https://irc.k-42.ru IRC: irc.sibnet.ru #iclub
Пользователь №: 6 588
Репутация: 1855
|
Не заморачивался такими вопросами. Можно погуглить, если есть желание . KIS при установке сразу вырубает встроенный фаервол. Что логично - у KIS-а возможностей фильтрации мягко говоря побольше. Скажем, если злобный троянчик захочет схитрить и воспользоваться для доступа в интернет какой-нибудь доверенной программой, ну скажем svchost.exe - стандартный фаервол вряд ли сможет отказать, в отличие от KIS. Подозреваю, что KIS без проблем сможет забанить хоть весь интернет (на вскидку создать сеть 0.0.0.0/0 и запретить там все входящие/исходящие пакеты, а потом поорудовать в правилах для программ), но см. второй абзац. Да и отключать фаервол в KIS - значит превращать его в более дешёвый продукт того же Касперского. Смысл тогда переплачивать по 400+ руб. в год за лицензию? Если точно известны все доверенные программы, то правильным решением, как показывает практика борьбы с бухгалтерами, будет не чёрный список, а белый. Шлюз напрочь удаляется, а нужные программы выпускаются за пределы локальной сети различными способами - хоть через прокси, хоть статическими маршрутами, хоть OSPF . Чёрный список плох тем, что завтра девочка-бухгалтерша по совету знакомого принесёт флэшку с портабельным браузером (или ещё какой хренью) - и придётся латать очередную дырень. В результате рано или поздно возникнет острое желание перейти на светлую сторону .
|
|
|
|
Neznаyka |
2.8.2016, 17:11
|
Группа: Пользователи
Сообщений: 747
Регистрация: 8.6.2012
Пользователь №: 436 214
Репутация: 67
|
Цитата(Jek @ 2.8.2016, 17:31) Смысл тогда переплачивать по 400+ руб. в год за лицензию?
То есть автор таки пользуется именно KIS, да? Цитата(Jek @ 2.8.2016, 17:31) Если точно известны все доверенные программы, то правильным решением, как показывает практика борьбы с бухгалтерами, будет не чёрный список, а белый
Скажу тебе по секрету, решение на основе встроенного файрвола в посте выше – это и есть белый список. Цитата(Jek @ 2.8.2016, 17:31) у KIS-а возможностей фильтрации мягко говоря побольше. Скажем, если злобный троянчик захочет схитрить и воспользоваться для доступа в интернет какой-нибудь доверенной программой, ну скажем svchost.exe - стандартный фаервол вряд ли сможет отказать, в отличие от KIS
Звучит впечатляюще, но не мог бы ты привести конкретный пример, где проявляется вся мощь файрвола KIS (именно в части файрвола, а не антивируса), на фоне беспомощного встроенного. Например, что может KIS и не может касп+встроенный файрвол. Сообщение отредактировал Neznаyka - 2.8.2016, 17:19
|
|
|
|
Jek |
2.8.2016, 17:28
|
Группа: Супермодераторы
Сообщений: 16 245
Регистрация: 27.9.2007
Из: N44.785780 E37.385650 WEB: https://irc.k-42.ru IRC: irc.sibnet.ru #iclub
Пользователь №: 6 588
Репутация: 1855
|
Цитата(Neznаyka @ 2.8.2016, 17:11) Скажу тебе по секрету, решение на основе встроенного файрвола в посте выше – это и есть белый список. Какой же это белый список? Цитата(Neznаyka @ 1.8.2016, 22:25) при необходимости отключаем разрешающие правила для нежелательных программ (например µTorrent) В лучшем случае это костыль, а никак не белый список . Цитата(Neznаyka @ 2.8.2016, 17:11) Звучит впечатляюще, но не мог бы ты привести конкретный пример Выше я привёл вполне конкретный пример с svchost.exe.
|
|
|
|
Neznаyka |
2.8.2016, 17:42
|
Группа: Пользователи
Сообщений: 747
Регистрация: 8.6.2012
Пользователь №: 436 214
Репутация: 67
|
Цитата(Jek @ 2.8.2016, 18:28) Какой же это белый список?
Погугли, если есть желание: Цитата(Neznаyka @ 1.8.2016, 23:25) netsh advfirewall set allprofiles firewallpolicy blockinbound,blockoutbound
Цитата(Jek @ 2.8.2016, 18:28) В лучшем случае это костыль, а никак не белый список
Все что не будет разрешено в правилах – запрещено. Цитата(Jek @ 2.8.2016, 18:28) Выше я привёл вполне конкретный пример с svchost.exe
Если бы ты написал Цитата у встроенного файрвола возможностей фильтрации мягко говоря побольше. Скажем, если злобный троянчик захочет схитрить и воспользоваться для доступа в интернет какой-нибудь доверенной программой, ну скажем svchost.exe - KIS вряд ли сможет отказать, в отличие от встроенного
то тоже попросил бы продемонстрировать на конкретном примере. Сообщение отредактировал Neznаyka - 2.8.2016, 17:42
|
|
|
|
Neznаyka |
2.8.2016, 18:25
|
Группа: Пользователи
Сообщений: 747
Регистрация: 8.6.2012
Пользователь №: 436 214
Репутация: 67
|
Цитата(Jek @ 2.8.2016, 18:56) Ты же предлагаешь ещё какие-то запрещающие правила. Какой же это белый список?
Не гуглил? Понятно. В действительности предлагалось отключить некоторые разрешающие правила на фоне запрета по дефолту, просто прочитай внимательнее пост выше. Цитата(Jek @ 2.8.2016, 18:56) Пойми одну простую вещь. Ни один правильный системный администратор не будет решать задачу с помощью фаервола, если эту же задачу можно куда проще разрулить с помощью маршрутизации. Тем более, что решение с беспомощным виндовым фаерволом ну никак не панацея.
Не хочешь перетереть за настройку циски? (риторический вопрос, если что) Как мне кажется, автор не является квалифицированным админом, и спрашивал о простом и приемлемом решении. Как известно, гланды можно удалить разными способами, в т.ч. через задний проход. Что кому проще – дело сугубо личных пристрастий и предпочтений
|
|
|
|
Jek |
2.8.2016, 18:32
|
Группа: Супермодераторы
Сообщений: 16 245
Регистрация: 27.9.2007
Из: N44.785780 E37.385650 WEB: https://irc.k-42.ru IRC: irc.sibnet.ru #iclub
Пользователь №: 6 588
Репутация: 1855
|
Цитата(Neznаyka @ 2.8.2016, 18:25) гланды можно удалить разными способами, в т.ч. через задний проход Что ты и советуешь здесь. Цитата(Neznаyka @ 2.8.2016, 18:25) Что кому проще – дело сугубо личных пристрастий и предпочтений Тут дело не в пристрастиях, а в том, как правильно решить не слишком типовую задачу. Можно хоть весь гугл исчитать, но если у тебя нет опыта - ты вряд ли решишь её оптимально. И я по-моему в первом своём сообщении здесь на это очень толсто намекнул. Можешь продолжать .
|
|
|
|
IDE7 |
14.6.2017, 23:16
|
Болтун
Группа: Пользователи
Сообщений: 505
Регистрация: 22.3.2012
Пользователь №: 428 351
Репутация: 28
|
В общем отпишусь о результатах. Была использована эта : Технология + рекомендация руководителя по использованию компьютера , которую следует выполнять в любом случае. Там ситуация такая : продавец с компьютером , на котором формируются результаты торговли. Руководитель иногда заходит удалённо , чтобы посмотреть. При этом продавцу не нужно выходить в интернет для выполнения своей работы. Поэтому блокировка браузера достаточно проста. Технологии , которые были предложены - слишком сложны для реализации и поддержки , в данном случае.
|
|
|
|
|
|
1 чел. просматривают этот форум (гостей: 1, скрытых пользователей: 0)
Пользователей: 0
|