classic.ISPforum.cz

Jak můžu na mikrotiku zablokovat možnost stanovat různé typy souborů, např. *.exe, *.msi apod.
Na netu jsem našel nastavení firewallu
ale nefunguje podle mých představ. Tohle pravidlo mi nedovolí exe/msi (pro ty mám stejné pravidlo) soubory ani vyhledat, natož stáhnout. Což by mi ani tak nevadilo, ale...

když vymažu veškerá "soukromá data" v Opeře tak se pak vůbec nedostanu např. na stránky idos.cz a spoustu dalších. Zajímavé je, že když tohle pravidlo zakážu, najedu na web idosu a zase pravidlo povolím, jede web bez problému. Totéž platí i pro IE9.

Nejsem žádný znalec sítí a MK, takže omluvte ten popis. Snad je to srozumitelné.

Na tohle bys potřeboval přímo Proxy (a to nevím, jestli tu v MK). Paketový filtr nepozná, co děláš ... vidí jen nakouskovaná data. Takže pokud mu řekneš, že má hledat text ".exe", tak ho hledá. A když najde, tak to spojení ukončí. A těchto pár znaků najde opravdu leckde.
Možná by mohlo zabrat to nastavit spíš na směr od klienta ven, aby to poznalo z požadavku a zablokovalo už ten. Ale kdo ví, jestli to bude fungovat.

Kromě toho stačí stahovat přes SSL a jsi víš kde

jak nastavit transparentní proxy
http://aacable.wordpress.com/2011/12/29 ... mment-1829

Zase jsem trochu laboroval a zjistil jsem, že dokážu zablokovat docela dost věcí co potřebuju, ale na SSl jsem krátký. Takže mi časem nezbude než použít proxy. A tady bych chtěl vědět jestli musím na všech Pc nastavit v prohlížeči proxy? Z odkazu jsem pochopil že se o přesměrování postará mikrotik sám. Je to tak?

jo, od toho se to jmenuje transparentni proxy (nebo alespon pro me)
problem bych ale videl spise v ssl, protoze pak by jsi porusil princip ssl , a certifikaci urcite nemas, takze te pak klienti poslou asi rychle nekam.

Proc to vlastne delas?

U mě o klienty nejde, já mám mikrotik v práci, dělám něco jako správce sítě ve škole. Takže chci zablokovat nějaké stránky a hlavně google chrome, děcka mi to rádi stahují a já ho hrozně nemám rád

Od toho je opravdu proxy ... kombinovaná s tím, že není důvod, aby obyčejný uživatel počítače ve firmě/škole mohl cokoliv instalovat.

jo, na tohle je prave ta transparentni proxy, na MK si to jen presmerujes na tu proxy a mas vystarano, pak uz jen konfigurace samotne proxy
nevim jak presne a spolehlive funguje mikrotik tini proxy , ale klasicka funguje perfektne
filtrovat lze ale jen 80 port (http) , 443 (https) nelze, teda lze , pak by jsi byl MiM (ManInMiddle) a vsechny pristupy na htts by uzivatelum rvaly jako nebezpecnej pristup (nebo jak to jednoduse rici), presny detaily si o tom ale zjisti jinde

No, uvnitř firmy bych se transparetní proxině bránil. Pokud to třeba přesměrovává se na squid, tak mám vyzkoušeno, že v režimu transparentní proxiny nezkousne řadu stránek, kde jsou trošku nekorektně dělané odkazy. Když je ta proxina použita přímo prohlížečem vědomě, tak to funguje (a firewall přímé spojení ven klientům jen odmítá). Také u transparetní proxiny nemůžu dělat ověření klientů (pokud jsou počítače v doméně, tak jde nastavit automatické na pozadí, bez obtažování uživatele).
Abych nemusel obíhat klienty a něco nastavovat, tak to řeší autokonfigurace proxiny (wpad záznam v DNS plus v DHCP) a je pokoj. I na notebookaře to pěkně jde, připojí notebook ve firmě, začne používat proxinu, připojí se doma, jde napřímo, nahodí VPNko do firmy, tak opět naskočí proxina...

K tomu HTTPS, samozřejmě jde monitorovat, co v něm jede. Pokud je to ve firmě, tak v komplech je certifikát firemní CA, podřízenou CA autoritu má k dispozicii proxina a dynamicky dělá to, že si vytváří certifikáty pro jednotlivé stránky podepsané firemní autoritou a klientům to ani nepípne (pokud mají v komplu naimportovaný certikát od autority, co používá proxina). Tuším, že v Squid3 je daná funkcionalita už přímo (ssl-bump). Pokud jste hodně velcí a máte dost peněz, tak za tím účelem jde koupit specializovaná bedna s podobným certifikátem od několika veřejných autorit, pak klient má certifikát v počítači už z výchozí instalace a pěkně do SSL vidíte (řve to jen v případě, že klient používá nějaký důkladnější nástroj na kontrolu certifikátů a ten upozorní, že třeba noťas doma vidí skutečný certifikát od serveru a ve firmě vidí podepsaný jinou autoritou).
Proto si také soudný člověk nanaimportuje do počítače certifikát nějaké autority, co si provozuje ISPík a občas nabízí zákazníkům, ať jim neřve přístup na jeho služby, protože pak může dělat takovéto skopičiny na své zákazníky.