пускать по MAK?

0

0

вообщем ситуация такая - на одной из машин раньше стоял клиент-банк с досовским интерфейсом, который звонил напрямую в банк через телефон. Сейчас они меняют версию клиент-банка, который должен ходить в инет через мою прокси. Пока точно не знаю умеет ли ходить оно через прокси (по телефону сказали что вроде умеет, но вот то, что авторизироваться по имени пользователя и паорлю неумеет, то это 90% - сами точно не знают). На нашем предприятии по правилам весь трафик учитывается кто сколько. Встает вопрос как лучше и правельнее сделать: настроить цепочку на файрволе и разрешить этой машине ходить мимо прокси или как-то можно такое сделать на сквиде, что именно одну машину можно пускать без имени пользователя и пароля? Если выбрать вариант мимо прокси, то необходимо обезопасить от возможности выхода в инет с другой машины подменой айпишки. Если я правельно понял, то за это отвечает параметр --mac-source [!] address. Только вот с синтаксисом чет не совсем понял. Может кто уже делал подобное и может подсказать, как лучше сделать?

Ссылка

←	CommuniGate авторизация не для лан юзверей

Trafd и pppoe

→

По-моему мимо сквида будет проще такой софтине работать.

Правило: $IPTABLES -A FORWARD -s 172.21.152.10 -m mac --mac-source 10:0A:5E:6D:95:51 -j ACCEPT

Как я понимаю, известен IP-адрес назначения - его надо вбить в правило, тогда и с подменой айпишника доступ будет тока к серверу банка. Я думаю это не многое даст "злоумышленнику"

roy ★★★★★
(01.06.07 07:44:56 MSD)

Ссылка

>cделать на сквиде, что именно одну машину можно пускать без имени пользователя и пароля?

Делаешь в конфиге squid два acl'a --- src с ip-адресом машины и dstdomain с доменом банка. А потом пишешь "http_access allow" для этих двух acl, только это access перед access, который разрешает доступ по паролю.

ИМХО, со squid вариант правильный, но, клиент интернет банка может уметь работать через прокси, а вот ключ генерить только напрямую. То есть где то раз в пол-год придется открывать выход через SNAT.

mky ★★★★★
(01.06.07 08:02:34 MSD)

Ссылка

Я бы подавляющее число пейсателей клиент-банков сначала бы повесил, а потом бы перестрелял.

Deleted
(01.06.07 12:28:49 MSD)

Ответ на: комментарий от Deleted 01.06.07 12:28:49 MSD

> Я бы подавляющее число пейсателей клиент-банков сначала бы повесил, > а потом бы перестрелял.

+1 поддерживаю

deys ★★★
(01.06.07 12:57:10 MSD) автор топика

Ответ на: комментарий от deys 01.06.07 12:57:10 MSD

это конечно уже офтопик, но возможно есть програма для винды, которая перехватывает соединение и перебрасывает его на прокси и через которую идет авторизация? Просто наверное это было бы идеальным вариантом. Прокси - сквид.

deys ★★★
(01.06.07 13:14:38 MSD) автор топика

Ссылка

> Если я правельно понял, то за это отвечает параметр --mac-source [!] address

Так ты не защитишься от смены ip и мак-адреса одновременно (если только у тебя не стоят управляемые свичи с привязкой маков к портам).

slav ★★
(01.06.07 16:31:40 MSD)

Ссылка

клиент-банк обычно 25 порт использует так что и разрешай ходить данной машине не через прокси но только на определенный порт и адресс, даже если кто то чего то подменит то не чего кроме удаленного адреса банка не получит :-)

phantom7 ★
(03.06.07 09:01:54 MSD)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	CommuniGate авторизация не для лан юзверей

Admin

Trafd и pppoe

→

Похожие темы