» »

Kako izklopit dostop do interneta v domeni...??

Kako izklopit dostop do interneta v domeni...??

uros678 ::

Ola...

Torej problem je sledec...mamo neko domeno, racunalnike, ki preko DNCja in nato gatewaya vstopajo v internet...na DNCju laufa WIN2000 SERVER na gatewayu pa Cobalt Linux..nea me sprasujte zakaj je DNC Win2000 tak pac je in jaz ne morem nic za to...zanima me ce obstaja kak ukaz oz scriptni ukazek ali kaj pac, s katerim bi lahko nekako onemogocil dostop do interneta dolocenim racunalnikom, ampak da bi dostop do mreznih resursov se vedno deloval... Dodaten problem je tudi da se skripta ne bi zagnala na serverju, ampak na katerem koli racunalniku katerega uporabnik bi imel dovolj velikime pravice... nekaj sem gledal razne route add pa neke finte, pa mi nekam nic ni jasno..

Je mogoce kdo mel kak taksen problem? Je to sploh mozno? Nekaj sem iskal po netu, pa sploh ne znam googlu razlozit pametno mojega problema..oh well..anyone??

Hvala in lep pozdrav,

Uros

Bakunin ::

linux je usmerjevalnik in do njega imas dostop?

potem pac tam omogocis/onemogocis dostop za tiste IP v omrezju, ki ne smejo na Internet.

nekaj v stilu:

iptables -A FORWARD -s TI.NE.SMES.GOR -j REJECT

uros678 ::

Ok, hvala ti za odgovor res, ampak to ni bil odgovor na moj problem..to resitev vem jaz tudi, ampak ne pride v postev..... preberi post, prosim še enkrat.. pa mi najdi resitev please...

Lep pozdrav,

Uros

krneki ::

Jaz bi enostavno pobrisal gatewaye na clientih in v group policiju za domeno prepovedal, da userji te pa te groupe ne smejo spreminjat mrežnih nastavitev. Če pa obvezno rabiš da gredo preko gatewaya (za dostop do drugih c klas na local networku), bi pa postavil proxy pa nagnal vse uporabnike preko proxija, ter nastavil ustrezne pravice za njegov dostop.

uros678 ::

Hvala vam res..samo nobena resitev ne pride v postev...problem je ker je to v soli in bi moral prfoks zagnat en programcic da bi mulariji prekinil dostop do neta (zato da pac malo poslusajo pa gledajo na tablo)...problem mora biti resen z cim manjsimi posegi v samo mrezo...v enem trenutku mora vse normalno delati potem pa..puf skriptek...in pcji postanejo slepi...je to sploh mogoce??

Obstaja kaki ukazi da bi posameznega pc nekak "oslepil" da nebi vec videl prehoda...hmmm...ta je prav trdi oreh...

Lep pozdrav,

Uros

Bakunin ::

login skripto za windows domeno (btw - DNC ? verjetno si mislil PDC 0:) ), ki pozene nekaj takega

route del 0.0.0.0

ne vem ali lahko to naredi kdorkoli ali samo nekdo iz grupe administrators.

pa paziti moras da nimajo dostopa preko kaksnega proxyja

ponavadi se to dela per IP oz. per workstation in ne per-user.

PS: mislim da zelis na napacen nacin resiti problem.....

Zgodovina sprememb…

  • spremenil: Bakunin ()

uros678 ::

ja, cist mozno, da se na napacen spravljam k problemu... res ne vem... ups, ja PDC sem mislil... ja, sej resitev bi bla per workstation
Lep pozdrav,

Uros

Zgodovina sprememb…

  • spremenilo: uros678 ()

Lith ::

ja pol pa pejt na vsak tist računalnik ki bi mu rad blokiral pa mu nastavi GATEWAY na en neobstoječ IP pa naj se j..., mreža bo pa medsebojno zaradi tega še vedno po moji logiki delala, če pustiš IP vsakega računalnika nespremenjen
¤ black holes rule; I like the speed, speed kills ¤

uros678 ::

Ok, decki, res sem vam hvalezen za poste, ampak malo bolj tocno bi si lahko prebrali kaksna bi naj priblizno bila resitev problema... rajse naj nekdo rece, da pac tega tako ni mogoce nardit...ker vse druge resitve (ki so bile do sedaj nastete) NE pridejo v poštev. Ceprav tisti route add in delete sta kr zanimiv stvari, sem nekaj gledal j. Na koncu sem ugotovil, da bi bilo najlazje problem resit tako... vsaka ucilnica, bi mela svoj server oz. gateway, ki bi istocasno bil profesorski PC...pol pa bi profesor ko bi mu dijaki dokur*** pognal InternetNeSpljoh.bat not pa bi bli razni route delete ukazeki, ko pa bi jim ga nazaj priklopo pa bi pac zagnal InternetZdaj.bat not bi pa bli razni route add ukazeki.. zal pa ta resitev ne pride v postev, ker so tisti ki so gradili mrezo bli jako pametni in so morali do amena zakomplicirat stvar...

A bi se dalo skriptno telnet-at na wins2000 server pa tam potem nekak pognat internetnespljoh.bat??

Kaksni predlogi??

Lep pozdrav,

Uros

Poldi112 ::

Iz switch-a potegni kabel, ki gre iz ucilnice. In ga daj potem nazaj notri, ko ga spet rabis.
In ok, ne vem elegantne resitve problema.

G2 ::

kaj pa če bi route add/remove oz skripte zagnal na serverju in s tem enemogočil dostop določenim IP-jem na gateway. Da se konektaš na server pa uporabiš VNC.

LP

uros678 ::

Aaaaa...now we are getting somewhere...vidis, vidis..dobra resitev, kak se te jaz nisem tega spomno :D ta mi je kr vsec, samo verjetno to ne bi delovalo z dinamičnimi IPji?? V bistvu pa jih tak al tak lahko prestavim nazaj...VNC to mislis on programcek za kao remote administracijo?? Sej potemtakem bi verjetno z telnet tud slo al ne?? A win2000 sploh majo telnet dostop?? Butec, se lahko pogledam...stupid me..

G2-Admin hvala za idejo...

Lep pozdrav,
Uros

ToniT ::

Win 2000 server ima vgrajen terminal server, ki je v administrative mode zastonj (2 hkratni povezavi)!

Zgodovina sprememb…

  • spremenil: ToniT ()

Mr.B ::

Računalniki ki naj nebi imeli dostopa do interneta daš v svojo OU. Nato pa kreiraš GPO za to OU, v kateri daš logon skripto da briše defoult routo. V končni fazi lahko za IE nastaviš v GPO-ju da nastaviš da pač ne dela tako kot more, lahko v končni fazi nastaviš da IE gre ven preko neobstoječega proxy-a pa nastaviš tako da user ne more spreminjati nastavitev IE, vključno z security nastavitvami le tega itd...
Lahko narediš tudi bat datoteko, ki bo vsem tistim ki ne smejo imeti dostopa na internet tudi to blokirala, samo je lažje z GPO-jem pod OU. Pod GPO lahko dosti svari nastaviš.
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold

uros678 ::

Ce uporabim GPO mi to ne pomaga do resitve...saj mora v nekem trenutku internet met, pol po zagonu skripte pa interneta vec ne sploh, po zagonu naslednje skripte pa internet spet je tu..juhu... no, to bi z GPO malo bolj tezko dosegel...

Lep pozdrav,

Uros

G2 ::

ja za remote administracijo (ne vem če ga ma 2000 vgrajenga, 2003 ga ma). Če si nastaviš telnet dostop na serverju bi načeloma moglo it

uros678 ::

Mislim, da sem ze cisto blizu resitve, moram se samo pogruntat malo bolj ta route add/delete... kaj mislite se bolj splaca racunalnike prestavit na statične IPje, al je boljse v DHCPju nastavit rezervacije??

Uros

G2 ::

na statične ipje. mogoče je malce več dela na začetku ampak je potem vse dosti lažje

uros678 ::

Ja, sem si mislil...ali mogoce mi lahko malo razlozis priblizno kak bi morala zgledat skripta za recimo 16 racunalnikov od recimo .10 do .26.. ker mam neke probleme z vizualizacijo problema.. postekal sem kako ono add/delete na racunalniku samem, nena pa razumem, kako bi to nardil na serverju za samo tisih doticnih 16 racunalnikov... Ok, stekam, route delete bla bla bla.. samo pol sem izklopo vse racunalnike, ki prehajajo preko gatewaya..tega pa nocem... ker je pa pol se dodaten problem, mam se 32 racunalnikov v dveh razlicnih ucilnicah, ki bi morali met dostop do neta neodvisno od tistih prvih 16, ki se jim je dostop do interneta prekino..pa tudi tisim bi se naj dalo internet izklopit, ampak spet neodvisno od ostalih dveh skupin...vsi pa dostopajo prek istega gatewaya...any ideas??

Pozdrav,
Uros

Bakunin ::

na tvojem mestu bi se tega problema raje lotil na usmerjevalniku (linux?) in tam blokiral Internet dostop dolocenim postajam/IP.
Bi bilo dosti lazje.....

uros678 ::

Halo...
Ja cisto mozno, da bi bilo lazje... ampak, nimam pojma kako...no nekaj se mi malo svita...problem je da poznam linux glih tak dobro kot Win 2000 server (torej bol tak), bi mi lahko mogoce ti pomagal s kaksnimi podrobnejsimi nasveti..npr. kere ukaze naj uporabim, kak naj skripteko napisem, ipd... z drugimi besedami, ce bi me nekak probal usmerit v pravo stran..:D

Pozdrav,

Uros

Bakunin ::

iptables -I FORWARD -s IP.DELOVNE.POSTAJE.KI.NE.SME.NA.INTERNET -j DROP

uros678 ::

@j: yo, man..sem si mislil, da bo nekaj takega...sem bolj nov se v tem poslu usmerjanja in preklaplanja, pa raje vprasam, kot pa da bi toplo vodo izumljal..pol pa lahko v bistvu to uporabim v nekem skriptu...a obstaja kak wildcard za IP da bi lahko napisal "vsi racunalniki od 1 do 16" ??

Pa se nekaj vprasanj nanizanih eno za drugo....mogoce ves kaksne pravice rabi uporabnik na linux masini, da lahko uporablja iptables? Ce rabi root se da to mogoce spremenit?? A se ta ukaz iptables izvede takoj al je treba na novo nalozit kaksen modul??

To bi blo za enkrat vse, j, hvala ti.

Uros

Bakunin ::

> a obstaja kak wildcard za IP da bi lahko napisal "vsi racunalniki od 1 do 16" ??

for i in `cat spisek_ip_naslovov`;do iptables -A FORWARD -s $i -j DROP;done

> mogoce ves kaksne pravice rabi uporabnik na linux masini, da lahko uporablja iptables? Ce rabi root se da to mogoce spremenit??

root
hmm......morda kaksen webvmesnik ? webming ?

> A se ta ukaz iptables izvede takoj al je treba na novo nalozit kaksen modul??

takoj

uros678 ::

@j: se malo rabim tvojo pomoč...mislis, da gre prestavit pravice do ipchains z roota na nekaga xtega uporabnika?? ja, ugotovil sem tudi (koncno so mi povedli te geslo za admin account na linuxu), da uporabljajo ipchains namesto iptables... a je to kaksna pomembna razlika...

Razmisljam, da bi napisal skripto, ki bi potem nekak zagnala ukaz "su" prijavla not geslo od roota (tako da user tega nebi videl) zagnala ipchains z novimi parametri, exitala root okolje in mogoce se celo mogoce zagnala logout.. to ni neki problem, razen tega kako mu vstavit geslo, ne da bi ga user videl...hmmm...

Kaj pa se da v winsih kako skripto napisat, ki zazene telnet in se zlogira gor??

Anybody??

Uros

Bakunin ::

> ipchains z roota na nekaga xtega uporabnika??

da se, ampak noces tega. 0:)

> da uporabljajo ipchains namesto iptables... a je to kaksna pomembna razlika...

Je. ipchains se uporablja na 2.2.x jedrih.
Moj predlog je da nadgrais na 2.4.x jedro ter uporabis iptbles. Se splaca

> Kaj pa se da v winsih kako skripto napisat, ki zazene telnet in se zlogira gor??

telnet !?? ssh.

Ce res ne mores drugace si instaliraj webmin, ampak ga omeji da dela samo iz intraneta....

uros678 ::

Hmm...nadgradnja mi nekak ne disi najbolj ...zakaj pa ipchains ne bi bli dovolj dobri...if it can do the job, then I'll take it...

mislis, da ni dobro ce bi nardil eno novo skupino (recimo ruterji) in enga novega clana te skupine ferdota, ki bi imel edini dostop do ukaza ipchains...boljse se mi ze zdi, kot da jih logiram not kot root-e...

daj, j, porkapotana, mislim, da si kr neki nusahljivi vir informacij..nehaj ze enkrat govorit v kraticah in kratkih stavkih..:P daj malo se razgovori pa podrobneje razlozi stvar...tisti ssh kaj pomeni al si kaj druga s tem mislo..ti, ti..pa kaki webmin?? Kaj je pa to in kaj dela ta stvar...

Hvala ti...

Uros

Bakunin ::

> zakaj pa ipchains ne bi bli dovolj dobri...

To je tako kot ce bi ti rekel "zakaj pa ne uporabljas EDLIN/wordstar/notepad. It does the job, doesn't it ?"

Celo sam Rusty je na OLS2003 izjavil da ga je sram, ker je ipchains naredil.

iptables je dosti bolje zasnovan.

>mislis, da ni dobro ce bi nardil eno novo skupino (recimo ruterji) in enga novega clana te skupine ferdota, ki bi imel edini dostop do ukaza ipchains...boljse se mi >ze zdi, kot da jih logiram not kot root-e...

ukaz sam ni problem, ampak se mora izvajati kot root.(hint chmod +s)
AMPAK to je "WRONG WAY".

>daj, j, porkapotana, mislim, da si kr neki nusahljivi vir informacij..nehaj ze enkrat govorit v kraticah in kratkih stavkih.. daj malo se razgovori pa podrobneje >razlozi stvar...tisti ssh kaj pomeni al si kaj druga s tem mislo..ti, ti..pa kaki webmin?? Kaj je pa to in kaj dela ta stvar...

lahko ti vec povem, ampak ti bom prilozil moj cenik.

zdaj se pa odloci. ali imas denar ali pa cas.

uros678 ::

okej...mam cas ja...
no, ce hocem napisat seznam za nakup v trgovini ne bom sel samo zaradi tega installirat office 2003, mar ne?? Torej pozabimo iptables, to ni opcija.....
Glej, ce se da naret z ipchains pol bom naredu z ipchains..ce bos ti reko, da je nemogoce, pol bom razmislil o alternativi...

Ce je Rusty reko, da ga je sram, komaj letos, pol bo se ta ipchains dober vsaj nadaljni dve leti.... if it ain't broken, don't try to fix it...

mam cajt ja...z dnarom sem pa bol shvoh...

Uros

Zgodovina sprememb…

  • spremenilo: uros678 ()

Bakunin ::

> kej...mam cas ja...

go install v2.4.x and learn iptables

> Ce je Rusty reko, da ga je sram, komaj letos, pol bo se ta ipchains dober vsaj nadaljni dve leti....

letos je zato rekel, ker je imel moznost (keynote speaker). Sicer ga je sram ze vsaj kaksno leto. :)

> if it ain't broken, don't try to fix it...

so we shall all use Vax/vms or os/2 ? or alpha cpu ? or beta video tapes....

> mam cajt ja...z dnarom sem pa bol shvoh...

no potem ti predlagam da za zacetek porabis nekaj casa na spletni strani LARTc.

EOD.

Zgodovina sprememb…

  • spremenil: Bakunin ()

uros678 ::

Ej, j, dobro no...mogoce bom pa res upgredal na 2.4 kernel, ampak komaj med poletnimi pocitnicami...zdaj v tem trenutku, bi rad resil samo problem priklopa na internet... ti mi samo povej ce se z ipchains da al ne moj problem resit? Kkolko sem bral na netu bi se moralo dat, mar ne??

Mam se en problem..ta sistem je kr ena cudna stvar nek cobalt linux, ki laufa na qube3 racunalniku..prvic v zivljenju sem videl kaj takega..no, saj ni nic takega.. v bistvu je to neki server za amatere, ker se da vse nastavljat preko www wmesnika, kar je po moje cisto brezveze oz. je za sisije :D Zato pa nebi rad na vrat na nos instaliral novega kernela, ker ne vem kaj se bo zgodilo...moram se prvo malo informirat, pol pa bomo tudi to zrihtali, ok? tak da j, nea mi ponujaj 2.4 pa iptables, raje mi pomagaj ipchains nastavit, no...:P

Uros

Bakunin ::

ej ti zmene....

ti imas Cube!? ....ki ste ga verjetno zelo drago placali.

Naj ti tisti, ki so ti stvar prodali tudi nastavijo.

(Trendnet?)

uros678 ::

cujes, j, ja, trendnet... dobro to ni vazno, oni so svoje naredli ze kaj jaz vem kdaj, preden sem jaz sem priso... to je zaj cist nasa fora, ki jo moram in tudi hocem sam resit(da bodo vidli da sem on top of the situation):D ..razumes?

ja, qube je bil drag, nekih 470 cukov... ni pa nic drugega ko neki kurcevi stari amd z 64 mb rama...za znoret...kupljen pa pazi to leta 2000...c,c,c,c...

Uros

Bakunin ::

uros678 ::

najdo sem tudi to...kewl... hvala ti za link...no, ceprav, sem ga ze poznal.. :D

Uros


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

slackware 9.0 in adsl

Oddelek: Operacijski sistemi
91093 (958) pajac
»

Linux in antivirusni pregled virusov ??

Oddelek: Programska oprema
141402 (1158) Ales
»

router noče routati

Oddelek: Operacijski sistemi
81376 (1248) marshaltito
»

Požarni zidovi v linuxu

Oddelek: Programska oprema
261164 (913) ToniT
»

Linux za router

Oddelek: Operacijski sistemi
101336 (1081) moby-dick

Več podobnih tem