Это не глюк, но другого раздела я нашел чтобы спростить.
Проблемка:
Нужно запретить все возможные входяшие сетевые соединения со всех IP адресов кроме 2-3 IP адресов из списка. Но нужно все это сделать ТОЛЬКО стандартными средсвами Win2K Prof. Никаких firewalls устанавливать нельзя (Zone Alarm уже стоит).
Нужно (хотельсь бы) запустить IIS и расшарить пару фолдеров, но так чтобы это увидели только те "кто нужно", те у кого я знаю IP адреса.
Если это возможно, ткните меня где это можно прочитать. Я не SysAdmin но, надеюсь, что сетевые книжки смогу прочитать.
Спасибо.
admik
@ 04-01-2006, 00:51
вообще-то можно на уровне TCP запретить - в Advanced -> Options -> TCP/IP filtering - далее уже сам увидишь, только это не выход для тебя.
у ISS есть такая-же фильтрация
| QUOTE (admik @ 03-01-2006, 16:51) |
вообще-то можно на уровне TCP запретить - в Advanced -> Options -> TCP/IP filtering - далее уже сам увидишь, только это не выход для тебя.
у ISS есть такая-же фильтрация |
Отлично, почти то что надо! Никогда туда (Advanced) не заглядывал.
На уровне IIS фильтовать я умею но до IIS запросы пускать не нужно. Нужно чтобы вААще ничего не отзывалось. нет расшаренных ресурсов и все!!
>только это не выход для тебя.
не понял, я, конечно, попробую, но, это, кажется, как раз то что нужно. Почему не для меня?
А "почти то что что надо", это потому что нужно будет еще найти как этот фильтр не ручками а скриптом обновлять. Но это уже совсем дроугая история... хотя, может кто-то тоже может подсказать?
А, понял, почему не для меня.
Он порты фильтрует я мне IP нужны
Спорить мне не хочется, но на сколько я в курсе
firewall в XP появился после SP2
про 2003 это не мой случай
а в Win2K нет встроенного firewall
а за ссылку спасибо. почитаю
admik
@ 04-01-2006, 03:47
ну смотри, в IIS есть "Site Option"
там на закладке "Directory Security"
есть "IP Address and Domain name Restriction"
и там ставишь - "Denied Access"
и добавляешь адреса которым разрешен доступ
А если zonalarm уже стоит, то почему-бы не его средствами фаерволить? Или потому, что нужно из скрипта, а интерфейсоф к зоналярму не предвидится?
| QUOTE (FiL @ 03-01-2006, 21:08) |
| А если zonalarm уже стоит, то почему-бы не его средствами фаерволить? Или потому, что нужно из скрипта, а интерфейсоф к зоналярму не предвидится? |
Ну... я не знаю почему у нас ставят ZoneAlarm? но он совершенно "для домохозяек", позволяет только выбрать запретить/разрешить/спрашивать_каждый_раз какому-то приложению выходить в сеть, но у него нет даже зачатков iptable.
Я добросовестно провел 30 минут тыкая во все опции, ничего приемлемого для меня не нашел.
Fellow
@ 04-01-2006, 07:13
А читал ли такую статью
http://www.securityfocus.com/infocus/1559 про GPEDIT.MSC и там "IP Security Policies"?
Я сам это место в W2K первый раз вижу, но выглядит очень похоже на firewall. Разбираться самому пока времени нету, так что читай статью. Если это не то, что нужно, чур я не виноват :)
Добавлено: не обратил сразу внимания - ссылка от
ego в 3м посте рассказывает о тех же самых "IP Security Policies", так что мой пост и не нужен был.
admik
@ 04-01-2006, 07:56
Ruz я тебе по пунктам описал что нужно
Damballah
@ 04-01-2006, 08:29
| QUOTE (Ruz @ 04-01-2006, 05:36) |
Ну... я не знаю почему у нас ставят ZoneAlarm? но он совершенно "для домохозяек", позволяет только выбрать запретить/разрешить/спрашивать_каждый_раз какому-то приложению выходить в сеть, но у него нет даже зачатков iptable.
Я добросовестно провел 30 минут тыкая во все опции, ничего приемлемого для меня не нашел. |
Есть там где-то создание правил, позволяющих осуществлять весьма гибкую настройку фильтрации, в том числе и по айпишникам.
Ruz ну ты же сказал что будеш читать там дальше вкратце описано ип фильтеринг
| QUOTE (ego @ 04-01-2006, 07:56) |
| Ruz ну ты же сказал что будеш читать там дальше вкратце описано ип фильтеринг |
Буду, буду.
просто дома нет Win2K так что попробовать не мог, вот пришел на работу - буду читать и ковыряться, спасибо за на*водку.
| QUOTE (Ruz @ 03-01-2006, 21:36) |
| QUOTE (FiL @ 03-01-2006, 21:08) | | А если zonalarm уже стоит, то почему-бы не его средствами фаерволить? Или потому, что нужно из скрипта, а интерфейсоф к зоналярму не предвидится? |
Ну... я не знаю почему у нас ставят ZoneAlarm? но он совершенно "для домохозяек", позволяет только выбрать запретить/разрешить/спрашивать_каждый_раз какому-то приложению выходить в сеть, но у него нет даже зачатков iptable.
Я добросовестно провел 30 минут тыкая во все опции, ничего приемлемого для меня не нашел. |
Я зоналярма давно не видел, но точно помню, что всё там есть. Может и не очень интуитивно, но точно есть. Может попробовать мануал по нему прочитать? :)
| QUOTE (admik @ 03-01-2006, 19:47) |
ну смотри, в IIS есть "Site Option"
там на закладке "Directory Security"
есть "IP Address and Domain name Restriction"
и там ставишь - "Denied Access"
и добавляешь адреса которым разрешен доступ |
Все абсолютно правильно.
Только одна загвоздка.
Эта опция (о которой ты пишешь) недрступна на моем **DESKTOP** РС.
Help мне пишет, что "This feature in only available for Window 2000 Server installation". Так что тут мне ловить нечего :-(
жаль.
А за совет спасибо, буду иметь ввиду.
| QUOTE (FiL @ 04-01-2006, 09:21) |
[QUOTE=Ruz,03-01-2006, 21:36]
Я зоналярма давно не видел, но точно помню, что всё там есть. Может и не очень интуитивно, но точно есть. Может попробовать мануал по нему прочитать? :) |
Как говорится, прежде чем спорить нужно договориться о терминах (хотя мы и не спорим).
Вполне вероятно что у мнея ZoneAlarm с урезанными администраторскими правами.
В разделе (tab) policies у меня есть только одна "политика" и нет позможности (кнопочки) добавить еще одну политику.
ничего, в худшем вариание можно принести "желеный" firewall и попробовать подключить РС через него.
Эх, так бы хотелось ж*** прикрыть понадежнее.
obaldin
@ 05-01-2006, 11:39
| QUOTE (Ruz @ 04-01-2006, 19:53) |
| Эх, так бы хотелось ж*** прикрыть понадежнее. |
Не думай, что кто-то или что-то будел ломать твой файрволл. В большинстве случаев ты сам откроешь дырку, через которую что-то пролезет. Если какой-то файрволл уже настроен, то далее осмысленно заняться другими делами - поставить антивирус, сменить браузер на не-IE, а почту на не-Outlook (Express). Хмм... HTTP-сервер на не-IIS :)
| QUOTE (obaldin @ 05-01-2006, 03:39) |
| QUOTE (Ruz @ 04-01-2006, 19:53) | | Эх, так бы хотелось ж*** прикрыть понадежнее. |
Не думай, что кто-то или что-то будел ломать твой файрволл. В большинстве случаев ты сам откроешь дырку, через которую что-то пролезет. Если какой-то файрволл уже настроен, то далее осмысленно заняться другими делами - поставить антивирус, сменить браузер на не-IE, а почту на не-Outlook (Express). Хмм... HTTP-сервер на не-IIS :) |
>Не думай, что кто-то или что-то будел ломать твой файрволл
не, не про то песня.
Просто у нас на работе, в целях безопасности, не разрешается устанавливать "самопальные серверы", что, в принципе, правильно.
Но мне нужно кое-что попробовать в течении 2-3 месяцев, а потом или удалить или легализоваться.
Так вот на эти 2-3 месяца мне нужно чтобы меня не просканировали в процессе ежемесячной проверки безопасности корпоративной сети.
А от наружных "излишне любознательных" людей я должен быть уже защищен.
Так чем тебя встроенный IPSec'овский фаер не устраивает?
obaldin
@ 06-01-2006, 04:11
| QUOTE (Ruz @ 05-01-2006, 17:15) |
| Но мне нужно кое-что попробовать в течении 2-3 месяцев, а потом или удалить или легализоваться. |
Тогда такой вариант - поставь себе VMWare, и под ним тестируй :wink:
| QUOTE (djet @ 05-01-2006, 10:54) |
| Так чем тебя встроенный IPSec'овский фаер не устраивает? |
Вот почему
Любое программное обеспечение от "третьей стороны" запрещено на рабочих местах. Если та приблуда, которую я хочу предложить попробовать нашему отделу, нас устроит, она все равно не может быть "легализована" в последующем, если она имеет в себе программное обеспечение от "третьей стороны".
Но тут есть один трик.
На эти 2-3 месяца можно постаить и IPsec, все равно я уже нарушаю правила, а потом, когда решим "легализоваться" - сервер и прятать не нужно будет. Так что FireWare можно будет и не исползовать.
Наврено так и сделаю.
| QUOTE (obaldin @ 05-01-2006, 20:11) |
| QUOTE (Ruz @ 05-01-2006, 17:15) | | Но мне нужно кое-что попробовать в течении 2-3 месяцев, а потом или удалить или легализоваться. |
Тогда такой вариант - поставь себе VMWare, и под ним тестируй :wink: |
Не понял при чем тут VMWare, если мне не самому у себя попробовать надо, а нужно запустить маленький сервер и дать коллегам попробовать новый tool без необходимости устанавливать у себя на РС что-то кроме браузера.
IPSec - это встроенная служба Windows!
obaldin
@ 06-01-2006, 22:41
| QUOTE (Ruz @ 06-01-2006, 17:17) |
| Не понял при чем тут VMWare, если мне не самому у себя попробовать надо, а нужно запустить маленький сервер и дать коллегам попробовать новый tool |
А.. Неочевидно было, что тебе коллегам надо доступ дать.