» »

Kako "blokirat" internet?

Kako "blokirat" internet?

urbybaby ::

Na mreži bi rad enemu računalniku (Windows XP) preprečil dostop do spletnih strani.

Hkrati pa bi rad ohranil mrežno povezljivost z tiskalniki, aplikacijami, ki laufajo prek mreže ipd...

Seved pa mora delovati tudi klient za pošto (Outlook) in Skype.

Na routerju imam dd-wrt, na katerega pa se ne spoznam ravno najbolje.

Zanima me ali je sploh možno to izvest.

Hvala

111111111111 ::

Na računalniku nastavi stacionarni IP in potem na ruterju blokiraj http, https ali port 80,443 za ta IP. Edino vprašanje je če bo delal skype, ker ne vem preko katerih portov deluje?

urbybaby ::

ok, IP ne bo problem, ne vem pa kje na routerju bi blokiral http,https... samo za ta računalnik. Našel sem opcijo da se blokira komplet vsa mreža.

urbecar ::

Access restriction. Blokiraš http, https, kot je napisal Chuapoiz. Filtriraš pa po mac naslovu kartice.

V "Access restriction" v poljih "Blocked Services" izbereš kar bi rad blokiral.

Zgodovina sprememb…

  • spremenil: urbecar ()

urbybaby ::

urbecar je izjavil:

Access restriction. Blokiraš http, https, kot je napisal Chuapoiz. Filtriraš pa po mac naslovu kartice.

V "Access restriction" v poljih "Blocked Services" izbereš kar bi rad blokiral.


takole?

Zgodovina sprememb…

  • spremenil: urbybaby ()

Hayabusa ::

Imho ne boš šlo, saj morata Outlook in Skype delati, z opcijo "filter" ne boš šlo, z "deny" pa blokiraš celoten net.

MIHAc27 ::

V IE greš na Tools > Internet options >Connections > Lan settings.. Daš kljukico pred uporabi proxy in not kar nekaj napišeš (npr block).
Vsi browzerji prenehajo delati, dala pa mreža BP.

Če za PC-jem ne sedi kak stručko.... bi moralo biti dovolj.

urbecar ::

urbybaby je izjavil:

urbecar je izjavil:

Access restriction. Blokiraš http, https, kot je napisal Chuapoiz. Filtriraš pa po mac naslovu kartice.

V "Access restriction" v poljih "Blocked Services" izbereš kar bi rad blokiral.


takole?

Da ali pa v Administration->Commands v firewall vpišeš komande:

iptables -I FORWARD 1 -p tcp --dport 80 -s 192.168.1.112/32 -j logdrop
iptables -I FORWARD 1 -p tcp --dport 443 -s 192.168.1.112/32 -j logdrop

bi se moralo dati omejiti tudi s pomočjo mac naslova vendar ne vem na pamet. Prvi ukaz blokira http, drugi pa https za določen IP. Sem malo potestiral in sta skype ter thunderbird na tak način delala OK.

Hayabusa ::

In če uporabnik odpre vph/ssh povezavo (port) ter surfa preko njega ?

urbybaby ::

uf, hvala za nasvete, bom malce pretestiral pa da vidm.

Hayabusa ::

Ti moraš omogočiti samo tisto, kar je na white listi, porte za Outlook (pop3, smtp) in Skype, vse ostalo je offline.


https://support.skype.com/en/faq/FA148/...
All destination ports above 1024 (recommended)
or
Ports 80 and 443

Zgodovina sprememb…

  • spremenilo: Hayabusa ()

SeMiNeSanja ::

Kompletna blokada porta 80 in 443 lahko povzroči probleme pri najrazličnejših nadgradnjah, od Windows, pa do AV programov. Ravno tako ne bo deloval dropbox in še katera reč, na katero morda še nisi pomislil.

Če imaš ta problem doma, si morda lahko pomagaš s kakšnim programom za starševski nadzor, če pa se gre za podjetje, si pa nabavite spodoben firewall. Res da se ti začnejo tam nekje okoli 700€, vendar ti omogočajo zelo granularno dovoljevanje in blokiranje aplikacij - brez da istočasno kaj drugega podreš.

Hayabusa ::

Saj lahko na tem pcju preko SW firewalla omogočiš samo file_sharing, pošto in skype.

SeMiNeSanja ::

Hayabusa je izjavil:

Saj lahko na tem pcju preko SW firewalla omogočiš samo file_sharing, pošto in skype.

Odvisno od tega, kakšnega uporabnika imaš na temu PC-ju. Žal ni povedal, ali se gre za otroka, sodelavca,.....

Kakšnemu dummy uporabniku brez admin pravic dejansko lahko tudi na softw. firewall-u na PC-ju kar nekaj blokiraš po aplikacijah. Nisem pa prepričan, kako globoko v sistem seže blokada IE.

Poleg tega si lahko uporabnik izmisli nek nov browser, ki pa bo spet delal, dokler ne bo pristal na črni listi. SW firewall je dokaj tečen, če mora admin vsakič prileteti, da ga 'odklene' za novo aplikacijo, si potem hitro premisliš in dvigneš roke.

...:TOMI:... ::

Jaz še vedno menim, da če je treba v firmi ali doma izvajati restrikcijo, da odnosi in zaupanje niso na nivoju, posledično so rezultati slabši. Bolje pogovor in pustiti internet, tako, kot je.
Tomi

SeMiNeSanja ::

Določene restrikcije v firmi so potrebne.
Od vrste podjetja pa zavisi, kakšne restrikcije naj bi to bile.

Pa se ne nanašajo te restrikcije vedno na promet, ki ga zavestno ustvarjajo uporabniki - tu se res da tudi s pogovori kaj naresti in restrikcije uvedeš, če tudi pogovor ne pomaga.

Problem so 100 in ena aplikacija, ki brez vednosti uporabnikov komunicira 'nekam' in nihče dejansko ne ve, čemu pravzaprav in od kod so se vzele.

Problem so spletne strani, na katere uporabnik sploh ni hotel, pa se odirajo kot popup, iframe, novo okno, itd. 'Internetne nadloge', bi jih lahko imenovali. Veliko jih je neškodljivih - žal pa ne vse in ravno tu tiči problem.

Skratka ne razumeti restrikcije kot nekaj, s čemur težiš uporabniku in ga prisiljuješ k 'pridnosti'. Veliko bolj pomembne so restrikcije v smislu preventive, ki nima nič skupnega s 'pridnostjo' uporabnikov.

Kdor je kdaj SW firewall vključil in mu dovolil, da se začne 'učiti', ta ve, kolikokrat se pojavi okenček, ki sprašuje, če bomo določeni aplikaciji dovolili komuniciranje. Če ne obupaš in si vztrajen, boš sčasoma nekako 'prečistil' situacijo, pri tem pa se neštetokrat spraševal 'kaj za vraga je zdaj to za en program, ki se hoče povezovati nekam?'.

urbybaby ::

SeMiNeSanja je izjavil:

Hayabusa je izjavil:


Žal ni povedal, ali se gre za otroka, sodelavca,.....
.


na tem računalniku dela en študent, v glavnem vnos podatkov ipd... Ni "stručko" da bi kaj počel po računalniku.

bom prvo poskusil z proxy-em, pač bo brez Skypa.

drugače na routerju sem blokiral dostop do http (vezano na MAC) kot je bilo zgoraj napisano, toda dostop do http še vedno je.

drugače pa kar debata moram priznat.

hvala vsem za pomoč, če ne bo šlo pa spet kaj napišem.:)

b3D_950 ::

Če ni stručko mu lahko odstraniš IP naslov do dns strežnika in ročno vneseš ip naslove v hosts datoteko za domene do katere rabi dostop (za mail streznik npr.). Če imaš poštni strežnik v lokalnem omrežju mu lahko pa odstraniš ip za prevzeti prehod in bo lahko dostopal zgolj do naprav v lokalnem omrežju.

SeMiNeSanja ::

b3D_950 je izjavil:

Če ni stručko mu lahko odstraniš IP naslov do dns strežnika in ročno vneseš ip naslove v hosts datoteko za domene do katere rabi dostop (za mail streznik npr.). Če imaš poštni strežnik v lokalnem omrežju mu lahko pa odstraniš ip za prevzeti prehod in bo lahko dostopal zgolj do naprav v lokalnem omrežju.

Na izbris prehoda sem tudi jaz najprej pomislil, vendar brez prehoda Skype ne bo delal (in update-i tudi ne).

Izbris DNS strežnika je malenkost bolj obetavna rešitev, vendar bi bilo treba kar nekaj dela, da se naštima hosts datoteko, ki bi vsebovala vse nujno potrebne naslove.

urbybaby ::

urbecar je izjavil:

Access restriction. Blokiraš http, https, kot je napisal Chuapoiz. Filtriraš pa po mac naslovu kartice.

V "Access restriction" v poljih "Blocked Services" izbereš kar bi rad blokiral.


Tole sem naredil in stvar deluje.

Hvala vsem za pomoč.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

IP/MAC blokiranje, TomatoRAF

Oddelek: Omrežja in internet
202033 (1691) GTX970
»

Tomato Firmware 1.21 v slovenskem jeziku

Oddelek: Omrežja in internet
408364 (3460) Veron
»

Kako z Linksys blokirati določene strani.

Oddelek: Omrežja in internet
71538 (1073) techfreak :)
»

Kako zapreti dostop do facebooka v enem omrežju?

Oddelek: Omrežja in internet
255460 (4779) Isotropic
»

[Tomato @ WRT54GL] - kako nastaviti access restriction

Oddelek: Omrežja in internet
71621 (1525) ABX

Več podobnih tem