Printable Version of Topic Click here to view this topic in its original format

Forums > Глюкодром > Как запретить все сетевые соединения в Win2K Prof, используя только Win2K Prof

Posted by: Ruz on 04-01-2006, 00:07

Это не глюк, но другого раздела я нашел чтобы спростить. Проблемка: Нужно запретить все возможные входяшие сетевые соединения со всех IP адресов кроме 2-3 IP адресов из списка. Но нужно все это сделать ТОЛЬКО стандартными средсвами Win2K Prof. Никаких firewalls устанавливать нельзя (Zone Alarm уже стоит). Нужно (хотельсь бы) запустить IIS и расшарить пару фолдеров, но так чтобы это увидели только те "кто нужно", те у кого я знаю IP адреса. Если это возможно, ткните меня где это можно прочитать. Я не SysAdmin но, надеюсь, что сетевые книжки смогу прочитать. Спасибо.

Posted by: admik on 04-01-2006, 00:51

вообще-то можно на уровне TCP запретить - в Advanced -> Options -> TCP/IP filtering - далее уже сам увидишь, только это не выход для тебя. у ISS есть такая-же фильтрация

Posted by: ego on 04-01-2006, 01:01

Пакетный фильтр, Firewall, IPSEC встроены во все в... 2000, XP, 2003 (http://eproxy.etype.net/ru/FireWall

Posted by: Ruz on 04-01-2006, 03:35

QUOTE (admik @ 03-01-2006, 16:51): вообще-то можно на уровне TCP запретить - в Advanced -> Options -> TCP/IP filtering - далее уже сам увидишь, только это не выход для тебя. у ISS есть такая-же фильтрация Отлично, почти то что надо! Никогда туда (Advanced) не заглядывал. На уровне IIS фильтовать я умею но до IIS запросы пускать не нужно. Нужно чтобы вААще ничего не отзывалось. нет расшаренных ресурсов и все!! >только это не выход для тебя. не понял, я, конечно, попробую, но, это, кажется, как раз то что нужно. Почему не для меня? А "почти то что что надо", это потому что нужно будет еще найти как этот фильтр не ручками а скриптом обновлять. Но это уже совсем дроугая история... хотя, может кто-то тоже может подсказать?

Posted by: Ruz on 04-01-2006, 03:39

А, понял, почему не для меня. Он порты фильтрует я мне IP нужны

Posted by: Ruz on 04-01-2006, 03:44

QUOTE (ego @ 03-01-2006, 17:01): Пакетный фильтр, Firewall, IPSEC встроены во все в... 2000, XP, 2003 (http://eproxy.etype.net/ru/FireWall Спорить мне не хочется, но на сколько я в курсе firewall в XP появился после SP2 про 2003 это не мой случай а в Win2K нет встроенного firewall а за ссылку спасибо. почитаю

Posted by: admik on 04-01-2006, 03:47

ну смотри, в IIS есть "Site Option" там на закладке "Directory Security" есть "IP Address and Domain name Restriction" и там ставишь - "Denied Access" и добавляешь адреса которым разрешен доступ

Posted by: FiL on 04-01-2006, 05:08

А если zonalarm уже стоит, то почему-бы не его средствами фаерволить? Или потому, что нужно из скрипта, а интерфейсоф к зоналярму не предвидится?

Posted by: Ruz on 04-01-2006, 05:36

QUOTE (FiL @ 03-01-2006, 21:08): А если zonalarm уже стоит, то почему-бы не его средствами фаерволить? Или потому, что нужно из скрипта, а интерфейсоф к зоналярму не предвидится? Ну... я не знаю почему у нас ставят ZoneAlarm? но он совершенно "для домохозяек", позволяет только выбрать запретить/разрешить/спрашивать_каждый_раз какому-то приложению выходить в сеть, но у него нет даже зачатков iptable. Я добросовестно провел 30 минут тыкая во все опции, ничего приемлемого для меня не нашел.

Posted by: Fellow on 04-01-2006, 07:13

А читал ли такую статью http://www.securityfocus.com/infocus/1559 (http://www.securityfocus.com/infocus/1559 про GPEDIT.MSC и там "IP Security Policies"? Я сам это место в W2K первый раз вижу, но выглядит очень похоже на firewall. Разбираться самому пока времени нету, так что читай статью. Если это не то, что нужно, чур я не виноват Добавлено: не обратил сразу внимания - ссылка от ego в 3м посте рассказывает о тех же самых "IP Security Policies", так что мой пост и не нужен был.

Posted by: admik on 04-01-2006, 07:56

Ruz я тебе по пунктам описал что нужно

Posted by: Damballah on 04-01-2006, 08:29

QUOTE (Ruz @ 04-01-2006, 05:36): Ну... я не знаю почему у нас ставят ZoneAlarm? но он совершенно "для домохозяек", позволяет только выбрать запретить/разрешить/спрашивать_каждый_раз какому-то приложению выходить в сеть, но у него нет даже зачатков iptable. Я добросовестно провел 30 минут тыкая во все опции, ничего приемлемого для меня не нашел. Есть там где-то создание правил, позволяющих осуществлять весьма гибкую настройку фильтрации, в том числе и по айпишникам.

Posted by: ego on 04-01-2006, 15:56

Ruz ну ты же сказал что будеш читать там дальше вкратце описано ип фильтеринг

Posted by: Ruz on 04-01-2006, 16:04

QUOTE (ego @ 04-01-2006, 07:56): Ruz ну ты же сказал что будеш читать там дальше вкратце описано ип фильтеринг Буду, буду. просто дома нет Win2K так что попробовать не мог, вот пришел на работу - буду читать и ковыряться, спасибо за на*водку.

Posted by: FiL on 04-01-2006, 17:21

QUOTE (Ruz @ 03-01-2006, 21:36): QUOTE (FiL @ 03-01-2006, 21:08): А если zonalarm уже стоит, то почему-бы не его средствами фаерволить? Или потому, что нужно из скрипта, а интерфейсоф к зоналярму не предвидится? Ну... я не знаю почему у нас ставят ZoneAlarm? но он совершенно "для домохозяек", позволяет только выбрать запретить/разрешить/спрашивать_каждый_раз какому-то приложению выходить в сеть, но у него нет даже зачатков iptable. Я добросовестно провел 30 минут тыкая во все опции, ничего приемлемого для меня не нашел. Я зоналярма давно не видел, но точно помню, что всё там есть. Может и не очень интуитивно, но точно есть. Может попробовать мануал по нему прочитать?

Posted by: Ruz on 04-01-2006, 19:52

QUOTE (admik @ 03-01-2006, 19:47): ну смотри, в IIS есть "Site Option" там на закладке "Directory Security" есть "IP Address and Domain name Restriction" и там ставишь - "Denied Access" и добавляешь адреса которым разрешен доступ Все абсолютно правильно. Только одна загвоздка. Эта опция (о которой ты пишешь) недрступна на моем **DESKTOP** РС. Help мне пишет, что "This feature in only available for Window 2000 Server installation". Так что тут мне ловить нечего жаль. А за совет спасибо, буду иметь ввиду.

Posted by: Ruz on 04-01-2006, 20:50

QUOTE (FiL @ 04-01-2006, 09:21): [QUOTE=Ruz,03-01-2006, 21:36] Я зоналярма давно не видел, но точно помню, что всё там есть. Может и не очень интуитивно, но точно есть. Может попробовать мануал по нему прочитать? Как говорится, прежде чем спорить нужно договориться о терминах (хотя мы и не спорим). Вполне вероятно что у мнея ZoneAlarm с урезанными администраторскими правами. В разделе (tab) policies у меня есть только одна "политика" и нет позможности (кнопочки) добавить еще одну политику.

Posted by: Ruz on 04-01-2006, 20:53

ничего, в худшем вариание можно принести "желеный" firewall и попробовать подключить РС через него. Эх, так бы хотелось ж*** прикрыть понадежнее.

Posted by: obaldin on 05-01-2006, 11:39

QUOTE (Ruz @ 04-01-2006, 19:53): Эх, так бы хотелось ж*** прикрыть понадежнее. Не думай, что кто-то или что-то будел ломать твой файрволл. В большинстве случаев ты сам откроешь дырку, через которую что-то пролезет. Если какой-то файрволл уже настроен, то далее осмысленно заняться другими делами - поставить антивирус, сменить браузер на не-IE, а почту на не-Outlook (Express). Хмм... HTTP-сервер на не-IIS

Posted by: Ruz on 05-01-2006, 18:15

QUOTE (obaldin @ 05-01-2006, 03:39): QUOTE (Ruz @ 04-01-2006, 19:53): Эх, так бы хотелось ж*** прикрыть понадежнее. Не думай, что кто-то или что-то будел ломать твой файрволл. В большинстве случаев ты сам откроешь дырку, через которую что-то пролезет. Если какой-то файрволл уже настроен, то далее осмысленно заняться другими делами - поставить антивирус, сменить браузер на не-IE, а почту на не-Outlook (Express). Хмм... HTTP-сервер на не-IIS >Не думай, что кто-то или что-то будел ломать твой файрволл не, не про то песня. Просто у нас на работе, в целях безопасности, не разрешается устанавливать "самопальные серверы", что, в принципе, правильно. Но мне нужно кое-что попробовать в течении 2-3 месяцев, а потом или удалить или легализоваться. Так вот на эти 2-3 месяца мне нужно чтобы меня не просканировали в процессе ежемесячной проверки безопасности корпоративной сети. А от наружных "излишне любознательных" людей я должен быть уже защищен.

Posted by: djet on 05-01-2006, 18:54

Так чем тебя встроенный IPSec'овский фаер не устраивает?

Posted by: obaldin on 06-01-2006, 04:11

QUOTE (Ruz @ 05-01-2006, 17:15): Но мне нужно кое-что попробовать в течении 2-3 месяцев, а потом или удалить или легализоваться. Тогда такой вариант - поставь себе VMWare, и под ним тестируй

Posted by: Ruz on 06-01-2006, 18:12

QUOTE (djet @ 05-01-2006, 10:54): Так чем тебя встроенный IPSec'овский фаер не устраивает? Вот почему Любое программное обеспечение от "третьей стороны" запрещено на рабочих местах. Если та приблуда, которую я хочу предложить попробовать нашему отделу, нас устроит, она все равно не может быть "легализована" в последующем, если она имеет в себе программное обеспечение от "третьей стороны". Но тут есть один трик. На эти 2-3 месяца можно постаить и IPsec, все равно я уже нарушаю правила, а потом, когда решим "легализоваться" - сервер и прятать не нужно будет. Так что FireWare можно будет и не исползовать. Наврено так и сделаю.

Posted by: Ruz on 06-01-2006, 18:17

QUOTE (obaldin @ 05-01-2006, 20:11): QUOTE (Ruz @ 05-01-2006, 17:15): Но мне нужно кое-что попробовать в течении 2-3 месяцев, а потом или удалить или легализоваться. Тогда такой вариант - поставь себе VMWare, и под ним тестируй Не понял при чем тут VMWare, если мне не самому у себя попробовать надо, а нужно запустить маленький сервер и дать коллегам попробовать новый tool без необходимости устанавливать у себя на РС что-то кроме браузера.

Posted by: djet on 06-01-2006, 21:12

IPSec - это встроенная служба Windows!

Posted by: obaldin on 06-01-2006, 22:41

QUOTE (Ruz @ 06-01-2006, 17:17): Не понял при чем тут VMWare, если мне не самому у себя попробовать надо, а нужно запустить маленький сервер и дать коллегам попробовать новый tool А.. Неочевидно было, что тебе коллегам надо доступ дать.

Powered by Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)