ÇözümPark

cümleten kolay gelsin..

linux fedora 5 üzerinden iptables,squid ile internetimi 150 kullanıcıya verirken aynı zamanda windows üzerinden dns , dhcp ,wsus ve trendmicro hizmetlerimide ayrı ayrı win2003 server üzerinden vermekteyim...bazı  siteleri linux üzerinden yasaklamak zorundayım malumunuz...

ancak bazı kullanıcılar tunnel kazarak yada proxy kullanarak (3.party) bu şekilde dışarı çıkmaktalar...dolayısıyla bu benim hem network hemde internet hizmetlerimde sorunlara yol açmaktadır...(yani aşırı istek paketlerinden dolayı network un kitlenmesi gibi...)

sorum şu şekilde olacak...bu tip proxy kullanımını (her türlü yani ister 3.party ister elle proxy ayarlamasını) active directory (ki şuan kullanmıyorum) olmadan engellemem mümkün mü...mümkün ise nasıl...yardımlarınız için şimdiden teşekkürler iyi çalışmalar...

Merhaba;

Kullanıcılar local admin haklarına sahiplermi ?

---

Filozoflar dünyayı yalnızca değişik biçimlerde yorumladılar, oysa asıl sorun onu değiştirmektir

doğrudur..A.D. kullanmadığımız için kullanıcıların local adminlerini de kapatmayı düşünmedik..aslında işin o tarafına girdikten sonra hiç uğraşmam yada uğraşacaksam active directory ile uğraşırım ama zaman yönünden çok kısıtlıyım..ancak bu mevcut hali ile linux üzerinde yada serverların herhangi biri üzerinden 3.party herhangi bir program veya ayar ile tüm proxy çıkışlarını engelleyebilirmiyim..aslında tunneling için bu yapıda çözüm yok gibi ama belki aynı sıkıntıları yaşayan arkadaşların kendilerince buldukları sistem çözümlerini uygulayabilirim...

ip tables ile transpara proxy'mi yapıyorsun?

yani iptables komutlarinda masquerade mi yapıyorsun?

 
 

evet MASQUERADE yapıyorum....ama iptables içerisine nasıl bir komut yazmalıyım..ayrıca tüm kullanıcılar için ie7 internet seçeneklerinde bağlantılarda proxy i kapatabilirsem buda işimi görür..ama regedit te yerini bulamadım....eğer bir bat dosyası oluşturup tüm client lerda bunu çalıştırabilirsem buda işimi görür...yani şuan wsus server var ve oluşturduğum bir .bat dosyası ile otomatik güncelleştirmeleri kapatıp tüm clientler wsus üzerinden update yapıyor...aynı mantık ile internet seçeneklerinde proxy sunucu kısmını regeditten kapatabilirsem ben bunun bat dosyasını oluşturup tüm clientlere yükletebilrim..dolayısıyla herhangi bir proxy veya elle proxy söz konusu olmaz diye düşünüyorum....

bu biraz kulagini ters elinle tutmaya benziyor. masquerade'yi iptal et. sadece belli portlari ag gecidine yonlendir.

bunun icin tcp 80 http, udp 53 dns, tcp 1683 msn, tcp 443 https yonlendirmen simdilik yeterli diye dusunuyorum.

tabii 3128 squid, 8080 dansguardian yonlendirmen de gerekebilir.

 

iptables -t nat -A PREROUTING -p tcp --dport 80 -i eth0 -j DNAT --to 192.168.1.1:8080

eth0 arabiriminden 80 portuna
        giden istekleri hedef adresini 192.168.1.1 ve hedef
        portu 8080 yaparak yollar. 

bu olabilir. tam emin degilim.  

 

 kaynak : http://www.belgeler.org/howto/iptables-usage_rules.html
 

bu arada. dansguardian yuklu degilmi sistemde? onunla banned ip list kısmından girmesini istemediğiniz kişileri ekleyebilirsiniz

arkadaşlar.. bu tip proxy programlarının yada proxy lerin regeditte yazdığı noktayı tespit ettik..şuan ufak bir anti-proxy programı yazıyoruz...biter bitmez testlerini yapıp sizlerle paylaşıcam...

cümleten kolay gelsin..

Bende aynı sorundan muzdarip durumdayım. "Ultrasurf" türü proxy programlı ile engelleri aşıyorlar hem kerio firewall, hemde dansguardian squid kullanıyorum fakat birtürlü çözüm yolu bulamadım. Ne öneririsiniz arkadaşlar?

ne yazıkki ben de bunun sıkıntısını çekiyorum. Exe uzantılı dosyalar çalıştırarak tüm firewalli alt üst ediyorlar.

---

FazLa PaRaNıN SorumLuLuGuDa FaZLaDıR. AmAn DiKKAt

Mutalaka vardır bir yolu:)

evet yolunu söylüyorum
firewallınızda tüm trafiği kapatınız.
http https için sadece izin vereceğiniz whitelist sitelerinizi oluşturunuz.
madem kullanıcılar kendine göre çözüm buluyor sizde bu şekilde
sadece izin verdiğiniz siteleri açın.proxy yapabilecekleri bir adresi white liste eklemediğiniz sürece
sadece izin verdiklerinizle mutlu olmak zorundalar.
kurallarınız şu şekilde olmalı

policy id  interface adress source    interface destination  service
1. user_address_grp internal           wan1_ white_list        http,https

selamlar

 

---

F1 Savaş Demir
Fortinet Certificated Network Professional (FCNSP)
Netgear Certificated Network Professional
www.FortinetTurkiye.com
www.F1Teknoloji.Net
www.FortinetTurkey.com

En son çare bu gibi görünüyor. Fakat farklı bir çözüm yolu arıyorum. Ne düşünüyorsunuz başka?

Programın çıkış portu değişken, hedef port ise 443. https siteleri engellemiş olucaz direkmen :(

Arkadaşlar farklı çözüm yolları üretecek birileri yokmu:(

1- şirketteki tüm bilgisayarların bioslarına şifre koy böylece şifreyi bilmeden cd den boot edip başlatamazlar (yani erd commander kullanamazlar windows local admin şifresini kıramazlar) boot device seçeneklerinden cd' den boot etmeyi disable et

2-  herkesin local admin hakkını al ve user olarak tanımla, ağ ayarlarını da dhcp assigned olarak yap. böylece kullanıcılar ağ ayarlarını değiştiremeyecek

3- dns, gateway, ip yi var olan dhcp üzerinden yönet

4-   a) eğer belii başlı 3-4 siteye girmelerini istiyorsan dns' te . kaydı aç sadece senin ip lerini verdiğin sitelere ulaşsınlar

yada

     b) yada hangi sayfaya girmelerini istemiyorsan kendi dns' sinde onların kaydını aç istediğin bir sayfaya yönlendir.

---

MCP
MCTS (MS Win. Vista Configuration)
MCSA+S (MS Win. Ser. 2003)
MCSE+S (MS Win. Ser. 2003)

Bu işlemlerin proxy ile alakası nedir anlamadım Bora bey :)

siz kullanıcıların internete çıkışını engellemek için alternatif yol sormuşsunuz diye söyledim. alternatif olarak

---

MCP
MCTS (MS Win. Vista Configuration)
MCSA+S (MS Win. Ser. 2003)
MCSE+S (MS Win. Ser. 2003)

Yok internete çıkışlarını engellemek istemiyorum. Ultrasurf türü proxy programları ile internete çıkışlarını engellemek istiyorum. İçerik filtrelememi aşıyorlar proxy programları ile. Zaten elle giremezler ağ bağdaştırıcısını GPO'dan kapattım. Ultrasurf farklı çalışıyor. Hedef port olarak 443 kullanıyor.

şu an fortigate mr 6 patch 2 ile http https dns pop3 smtp servislerine izin verdim.
atamış olduğum protection profiledan fortiguard web filteringi aktif edip proxyleri yasakla dedim.
https sekmesinede işaret koydum.
ultrasurf programı server bağlantısını yapamıyor.
hatta metine göstermek için teamviewer ile bağlantı açayım dedim onada izin vermedi.
teamviewerı white listimize aldıktan sonra bağlantı aktif oldu.
fortigate olanlar deneyip gözlemleyebilir
selamlar

---

F1 Savaş Demir
Fortinet Certificated Network Professional (FCNSP)
Netgear Certificated Network Professional
www.FortinetTurkiye.com
www.F1Teknoloji.Net
www.FortinetTurkey.com

Saygı değer hocalarım uzerime vazife degil ama ben gecicide olsa bir cozum buldum alttaki linkte ultra surf ve proxy swithcer programlarının kullandıgı guncel proxy adreslerinden olusan isa server 2004 uzerinde yaptıgım computer set var.

Kural olustururken en ustte bir deny tanımlayarak internal dan bu computer sete dogru Https http ve dns protokollerini bloke edecegiz. Ben bole  yaptım nasıl olsa veritabanında logları tutuyorum ordan arada sırada logları kontrol edersem kullanıcıların proxy uzerinden cıkmaya calıstıklarını ve yenı proxy adreslerini elde eder ve eklerim diye dusunerek boyle bir yola basvurdum.

http://www.mizrakbilisim.com/Ultra_surf_ve_turevleri_yalan_oldu.xml

Şimdi tek sorun anonnymouse siteler var bunlarıda yavas yavas bulup bloke etmek.