proxy engelleme

Merhaba;

Kullanıcılar local admin haklarına sahiplermi ?

doğrudur..A.D. kullanmadığımız için kullanıcıların local adminlerini de kapatmayı düşünmedik..aslında işin o tarafına girdikten sonra hiç uğraşmam yada uğraşacaksam active directory ile uğraşırım ama zaman yönünden çok kısıtlıyım..ancak bu mevcut hali ile linux üzerinde yada serverların herhangi biri üzerinden 3.party herhangi bir program veya ayar ile tüm proxy çıkışlarını engelleyebilirmiyim..aslında tunneling için bu yapıda çözüm yok gibi ama belki aynı sıkıntıları yaşayan arkadaşların kendilerince buldukları sistem çözümlerini uygulayabilirim...

ip tables ile transpara proxy'mi yapıyorsun?

yani iptables komutlarinda masquerade mi yapıyorsun?

evet MASQUERADE yapıyorum....ama iptables içerisine nasıl bir komut yazmalıyım..ayrıca tüm kullanıcılar için ie7 internet seçeneklerinde bağlantılarda proxy i kapatabilirsem buda işimi görür..ama regedit te yerini bulamadım....eğer bir bat dosyası oluşturup tüm client lerda bunu çalıştırabilirsem buda işimi görür...yani şuan wsus server var ve oluşturduğum bir .bat dosyası ile otomatik güncelleştirmeleri kapatıp tüm clientler wsus üzerinden update yapıyor...aynı mantık ile internet seçeneklerinde proxy sunucu kısmını regeditten kapatabilirsem ben bunun bat dosyasını oluşturup tüm clientlere yükletebilrim..dolayısıyla herhangi bir proxy veya elle proxy söz konusu olmaz diye düşünüyorum....

bu biraz kulagini ters elinle tutmaya benziyor. masquerade'yi iptal et. sadece belli portlari ag gecidine yonlendir.

bunun icin tcp 80 http, udp 53 dns, tcp 1683 msn, tcp 443 https yonlendirmen simdilik yeterli diye dusunuyorum.

tabii 3128 squid, 8080 dansguardian yonlendirmen de gerekebilir.

iptables -t nat -A PREROUTING -p tcp --dport 80 -i eth0 -j DNAT --to 192.168.1.1:8080

eth0 arabiriminden 80 portuna
        giden istekleri hedef adresini 192.168.1.1 ve hedef
        portu 8080 yaparak yollar. 

bu olabilir. tam emin degilim.  

 kaynak : http://www.belgeler.org/howto/iptables-usage_rules.html
 

bu arada. dansguardian yuklu degilmi sistemde? onunla banned ip list kısmından girmesini istemediğiniz kişileri ekleyebilirsiniz

arkadaşlar.. bu tip proxy programlarının yada proxy lerin regeditte yazdığı noktayı tespit ettik..şuan ufak bir anti-proxy programı yazıyoruz...biter bitmez testlerini yapıp sizlerle paylaşıcam...

cümleten kolay gelsin..

Bende aynı sorundan muzdarip durumdayım. "Ultrasurf" türü proxy programlı ile engelleri aşıyorlar hem kerio firewall, hemde dansguardian squid kullanıyorum fakat birtürlü çözüm yolu bulamadım. Ne öneririsiniz arkadaşlar?

ne yazıkki ben de bunun sıkıntısını çekiyorum. Exe uzantılı dosyalar çalıştırarak tüm firewalli alt üst ediyorlar.

Mutalaka vardır bir yolu:)

evet yolunu söylüyorum
firewallınızda tüm trafiği kapatınız.
http https için sadece izin vereceğiniz whitelist sitelerinizi oluşturunuz.
madem kullanıcılar kendine göre çözüm buluyor sizde bu şekilde
sadece izin verdiğiniz siteleri açın.proxy yapabilecekleri bir adresi white liste eklemediğiniz sürece
sadece izin verdiklerinizle mutlu olmak zorundalar.
kurallarınız şu şekilde olmalı

policy id  interface adress source    interface destination  service
1. user_address_grp internal           wan1_ white_list        http,https

selamlar

En son çare bu gibi görünüyor. Fakat farklı bir çözüm yolu arıyorum. Ne düşünüyorsunuz başka?

Programın çıkış portu değişken, hedef port ise 443. https siteleri engellemiş olucaz direkmen 🙁

Arkadaşlar farklı çözüm yolları üretecek birileri yokmu:(

1- şirketteki tüm bilgisayarların bioslarına şifre koy böylece şifreyi bilmeden cd den boot edip başlatamazlar (yani erd commander kullanamazlar windows local admin şifresini kıramazlar) boot device seçeneklerinden cd' den boot etmeyi disable et

2-  herkesin local admin hakkını al ve user olarak tanımla, ağ ayarlarını da dhcp assigned olarak yap. böylece kullanıcılar ağ ayarlarını değiştiremeyecek

3- dns, gateway, ip yi var olan dhcp üzerinden yönet

4-   a) eğer belii başlı 3-4 siteye girmelerini istiyorsan dns' te . kaydı aç sadece senin ip lerini verdiğin sitelere ulaşsınlar

yada

     b) yada hangi sayfaya girmelerini istemiyorsan kendi dns' sinde onların kaydını aç istediğin bir sayfaya yönlendir.

Bu işlemlerin proxy ile alakası nedir anlamadım Bora bey 🙂

siz kullanıcıların internete çıkışını engellemek için alternatif yol sormuşsunuz diye söyledim. alternatif olarak

Yok internete çıkışlarını engellemek istemiyorum. Ultrasurf türü proxy programları ile internete çıkışlarını engellemek istiyorum. İçerik filtrelememi aşıyorlar proxy programları ile. Zaten elle giremezler ağ bağdaştırıcısını GPO'dan kapattım. Ultrasurf farklı çalışıyor. Hedef port olarak 443 kullanıyor.