LINUX.ORG.RU
ФорумAdmin

пускать по MAK?


0

0

вообщем ситуация такая - на одной из машин раньше стоял клиент-банк с досовским интерфейсом, который звонил напрямую в банк через телефон. Сейчас они меняют версию клиент-банка, который должен ходить в инет через мою прокси. Пока точно не знаю умеет ли ходить оно через прокси (по телефону сказали что вроде умеет, но вот то, что авторизироваться по имени пользователя и паорлю неумеет, то это 90% - сами точно не знают). На нашем предприятии по правилам весь трафик учитывается кто сколько. Встает вопрос как лучше и правельнее сделать: настроить цепочку на файрволе и разрешить этой машине ходить мимо прокси или как-то можно такое сделать на сквиде, что именно одну машину можно пускать без имени пользователя и пароля? Если выбрать вариант мимо прокси, то необходимо обезопасить от возможности выхода в инет с другой машины подменой айпишки. Если я правельно понял, то за это отвечает параметр --mac-source [!] address. Только вот с синтаксисом чет не совсем понял. Может кто уже делал подобное и может подсказать, как лучше сделать?

★★★

По-моему мимо сквида будет проще такой софтине работать.

Правило: $IPTABLES -A FORWARD -s 172.21.152.10 -m mac --mac-source 10:0A:5E:6D:95:51 -j ACCEPT

Как я понимаю, известен IP-адрес назначения - его надо вбить в правило, тогда и с подменой айпишника доступ будет тока к серверу банка. Я думаю это не многое даст "злоумышленнику"

roy ★★★★★
()

>cделать на сквиде, что именно одну машину можно пускать без имени пользователя и пароля?

Делаешь в конфиге squid два acl'a --- src с ip-адресом машины и dstdomain с доменом банка. А потом пишешь "http_access allow" для этих двух acl, только это access перед access, который разрешает доступ по паролю.

ИМХО, со squid вариант правильный, но, клиент интернет банка может уметь работать через прокси, а вот ключ генерить только напрямую. То есть где то раз в пол-год придется открывать выход через SNAT.

mky ★★★★★
()

Я бы подавляющее число пейсателей клиент-банков сначала бы повесил, а потом бы перестрелял.

Deleted
()
Ответ на: комментарий от Deleted

> Я бы подавляющее число пейсателей клиент-банков сначала бы повесил, > а потом бы перестрелял.

+1 поддерживаю

deys ★★★
() автор топика
Ответ на: комментарий от deys

это конечно уже офтопик, но возможно есть програма для винды, которая перехватывает соединение и перебрасывает его на прокси и через которую идет авторизация? Просто наверное это было бы идеальным вариантом. Прокси - сквид.

deys ★★★
() автор топика

> Если я правельно понял, то за это отвечает параметр --mac-source [!] address

Так ты не защитишься от смены ip и мак-адреса одновременно (если только у тебя не стоят управляемые свичи с привязкой маков к портам).

slav ★★
()

клиент-банк обычно 25 порт использует так что и разрешай ходить данной машине не через прокси но только на определенный порт и адресс, даже если кто то чего то подменит то не чего кроме удаленного адреса банка не получит :-)

phantom7
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.