[nafanja2007]

Цитата WhitePangolin:

Один хрен реализация у вас сейчас фиговая если уж сервер инет раздает »

а это почему же? что плохого в том что инет раздает сервер, специально для этого поставленный, который заодно кого надо пускает кого надо непускает, фильтрует адреса и банит одноклассников например?

[wp2]

Цитата dmitryst:

shutdown (без параметров)

ну, now все равно надо будет ввести)))

Цитата nafanja2007:

притом что по этой ссылочке рекомендовано как один из вариантов взлома пароля. если в консоль никак. »

а как ты собираешься хоть что-то делать без консоли? Тебе по любому надо перегружатся и входить в консоль. Кстати, невсегда это и возможно ;-)

Цитата WhitePangolin:

фиговая если уж сервер инет раздает »

скорее всего имеется ввиду что нужен управляемый коммутатор.

[nafanja2007]

Цитата wp2:

Тебе по любому надо перегружатся и входить в консоль. Кстати, невсегда это и возможно ;-) »

имеется ввиду если "Войти в режиме single_user, но чаще всего этот режим отключён" то есть у меня будут запрашивать пароль в любом случае при входе. Тогда надо грузится с флопика или привода.

Цитата wp2:

скорее всего имеется ввиду что нужен управляемый коммутатор. »

а управляемый коммутатор умеет блокировать сайты? или проще работать как прокси-сервер?
Вот я не понял, что человек хотел этим сказать.

[WhitePangolin]

Цитата nafanja2007:

Вот я не понял, что человек хотел этим сказать. »

Человек хотел этим сказать, что судя по постам у вас в конторе проксик стоит непосредственно на шлюзе смотрящим в инет. Я не параноик но в инет должна смотреть машина не имеющая на борту ничего кроме nat, firewall, ssh. Как правильно сказал уважаемый wp2, это либо железяга либо машинка под тем же FeeBSD у которого в rc.conf нет ничего кроме:

Код:

hostname="my.super.router"
defaultrouter="my.super.puper.ip"
ifconfig_em0="inet my.internal.ip.adress netmask 255.255.255.0"
ifconfig_em1="inet my.external.ip.adress netmask 255.255.255.0"
firewall_enable="YES"
firewall_script="/etc/myfirewall"
natd_enable="YES"
natd_interface="em1"
natd_flags="-m -u"
gateway_enable="YES"
sshd_enable="YES"
knockd_enable="YES"

ну и естественно всякие полезности типа:

Код:

icmp_drop_redirect="YES"
icmp_log_redirect="YES"
icmp_bmcastecho="NO"
tcp_drop_synfin="YES"
log_in_vain="YES"

и уже с этой машинкой/железкой устанавливает шифрованное соединение непосредственно проксик, который собственно

Цитата nafanja2007:

умеет блокировать сайты? или проще работать как прокси-сервер? »

Вот и все что я хотел сказать.

p.s.
ssh неплохо бы кнокером закрыть...

[dmitryst]

Цитата wp2:

ну, now все равно надо будет ввести))) »

давно проверял, не помню (зато пароль точно помню )) )

Цитата nafanja2007:

а управляемый коммутатор умеет блокировать сайты? »

нет, разве что vlan-ы создавать.

Цитата WhitePangolin:

Я не параноик....»

я тоже, поэтому у меня модем работает в режиме роутера и у ж за ним машинка с проксями и прочими радостями. Ставить две (!!) машины для "раздачи интернета" - это ж каждый руководитель согласится, только если на списанном барахле далать...

Цитата WhitePangolin:

ssh неплохо бы кнокером закрыть... »

отсюда попрошу поподробнее (у меня просто доступ к ssh ограничен одним адресом из локалки и одним - из "мира", ИМХО, достаточно, пара десятков "прощупываний" в день срезаются этим самым правилом)

[WhitePangolin]

Цитата dmitryst:

Ставить две (!!) машины для "раздачи интернета" - это ж каждый руководитель согласится, только если на списанном барахле далать... »

машинку Р4 1,6/512Mb/40G +2 карточки можно купить за 10-12 килорублей

Цитата dmitryst:

отсюда попрошу поподробнее »

в портах лежит офигительная штука
/usr/ports/security/knock
демон слушает порты и ждет определенную комбинацию после чего выполняет определенные действия в системе. Настраиваем его например как:

Код:

[SovaOtkrivaiMedvedPriwel]
        sequence    = 1111:udp,2222:tcp,1111:udp,2222:tcp
        seq_timeout = 5
        start_command     = /sbin/ipfw -q add 111 allow all from %IP% to me 22
        tcpflags    = syn
        cmd_timeout = 3600
        stop_command     = /sbin/ipfw delete 111

в результате если мы дважды последовательно пошлем пакеты на порты 1111:udp и 2222:tcp то выполнится команда открывающая 22 порт для того ипа с которого пакеты собственно и пришли, а по таймауту порт закроется. Идеальное решение для поднятия уровня безопасности. И открытие - закрытие портов это еще фигня

[nafanja2007]

я пока не знаю, что есть на этом серваке чего нету. Пока к нему доступ я не получил, и что предидущий админ там наваял я не знаю. Речь то шла о том что доступ на него нужен, что бы посмотреть что ж там есть. Видел только что стоит модем adsl после него сервер, который прокси. Может он инет раздает, может он только прокси. Получу пароль и посмотрю.

[dmitryst]

Цитата WhitePangolin:

машинку Р4 1,6/512Mb/40G +2 карточки можно купить за 10-12 килорублей »

если одну машинку еле-еле выбили, то уж на вторую вряд ли согласятся (у большинства так)

Цитата WhitePangolin:

в результате если мы дважды последовательно пошлем пакеты на порты 1111:udp и 2222:tcp »

.... которые закрыты.... . То есть их надо открыть, то е сть можно просто перенести шелл на 2222 порт, скажем. Хотя, для параноидального решания - самое оно

[WhitePangolin]

Цитата dmitryst:

.... которые закрыты.... . То есть их надо открыть, »

Нет! В том то и есть вся фишка! Ты стучишься на определенную комбинацию закрытых портов и специально для тебя демон открывает какой либо порт или выполняет не менее вкусную команду. Например rm -rf /

[dmitryst]

Ниже будет злостный оффтоп ))))

Цитата WhitePangolin:

Ты стучишься на определенную комбинацию закрытых портов и специально для тебя демон открывает какой либо порт »

Как я туда постучусь, если файерволл их закрыл и бросает любые пакеты, туда приходящие??

ЗЫ. Может, отдельную тему создадим, типа, "Тонкости настройки безопасности FreeBSD"?