lure (Normal User)
Newbie
Messaggi: 19
Iscritto: 25/06/2009
|
Ciao a tutti ho un problema in una rete aziendale..
il mio cliente ha certi pc negli uffici della produzione.
conoscendo le persone che utilizzano questi pc c'è il rischio di prendersi qualche virus e che passino troppo tempo a navigare in internet...
volevo sapere se cè un modo per permettere a windows di scaricare gli aggiornamenti e impedire che gli utenti vadano in internet...
grazie in anticipo
|
|
TheKaneB (Member)
Guru^2
Messaggi: 1792
Iscritto: 26/06/2009
|
Postato originariamente da lure:
ma sono solo alcuni pc che non devono accedere ad internet.
conosci un firewall che mi permette di gestire il traffico internet basandosi sull indirizzo MAC dei pc; per permettere a X pc di accedere tranquillamente ad internet mentre ad altri Y pc negare qualunque tipo di connessione tranne che per windows update e antivirus?
se dovessi bloccare http, ftp, ecc...cosa dovrei tenere aperto per permettere solo gli aggiornamenti di windows e dell' antivirus per quei pc? |
certo che si può. Qualunque sistema Linux ha questa capacità già integrata a livello di kernel.
Se ti serve un firewall professionale a costo bassissimo, prendi un PC, installa CentOS (versione gratuita di RHEL 5) e avrai un tool di amministrazione di firewall dalla potenza assoluta.
A quel punto, però, visto che di mestiere fai il sysadmin (mi sembra di capire), di consiglio di prendere un buon libro sull'amministrazione di rete con Linux (meglio se specifico di Red Hat Enterprise Linux ;-)
ciao |
|
Mte90 (Member)
Guru
Messaggi: 1144
Iscritto: 25/03/2008
|
un firewall?
basta mettere un firewall e bloccare le connessioni http,ftp ecc o permettere l'accesso solo ad alcuni siti web.
|
|
lure (Normal User)
Newbie
Messaggi: 19
Iscritto: 25/06/2009
|
ma sono solo alcuni pc che non devono accedere ad internet.
conosci un firewall che mi permette di gestire il traffico internet basandosi sull indirizzo MAC dei pc; per permettere a X pc di accedere tranquillamente ad internet mentre ad altri Y pc negare qualunque tipo di connessione tranne che per windows update e antivirus?
se dovessi bloccare http, ftp, ecc...cosa dovrei tenere aperto per permettere solo gli aggiornamenti di windows e dell' antivirus per quei pc?
|
|
lure (Normal User)
Newbie
Messaggi: 19
Iscritto: 25/06/2009
|
no disabilitare/disinstallare il browser non mi può aiutare...in azienda ci sono ragazzini che fanno i furbi...per temporeggiare avevo eliminato l' indirizzo gateway dalle configurazioni di rete e loro sono andati a rimetterlo...
credo che l' inserimento di un firewall linux possa essere una soluzione valida...adesso mi informerò. grazie ancora
|
|
lorenzo (Normal User)
Guru
Messaggi: 1178
Iscritto: 15/04/2008
|
Postato originariamente da lure:
no disabilitare/disinstallare il browser non mi può aiutare...in azienda ci sono ragazzini che fanno i furbi...per temporeggiare avevo eliminato l' indirizzo gateway dalle configurazioni di rete e loro sono andati a rimetterlo...
credo che l' inserimento di un firewall linux possa essere una soluzione valida...adesso mi informerò. grazie ancora |
scusa, ma come user lasci usare l'administrator?
Perché se disabiliti browser o elimini il gateway dalle configurazioni come admin nessun altro utente dovrebbe riuscire a reinserire il tutto.
Se invece lascio libero l'account di amministrazione allora credo che nemmeno un firewall possa bastare....senza contare la sicurezza.
Compariamo i due metodi:
Account Admin/User:
-facile e rapido da implementare
-aggiunge sicurezza al sistema
Firewall linux:
-devi impararti la gestione
-mettere in piedi una macchina e testarla adeguatamente
-configurare il firewall
Se fosse una cosa casalinga sarei con voi, ma il tempo è denaro e per mettere su un firewall se non si conosce l'ambiene non è una cosa da fare in cinque minuti.
|
|
Mte90 (Member)
Guru
Messaggi: 1144
Iscritto: 25/03/2008
|
il firewall non è difficile da mettere sù.
lo dico per l'esperienza che ho (che è molto poca).
basta usare il firewall del router tipo quell idella netgear o linksys che hanno un buon sistema facilmente configurabile per il firewall o usare un pc che fà da firewall mettendoci sopra pfsense o qualcos'altro.
di solito è molto semplice:
si configura l'ip su cui deve agire la regola
si imposta se in uscita o in entrata
si imposta la porta su cui deve agire la regola o il protocollo
si imposta se consentire o bloccare
dai un nome alla regola
le metti in ordine per la precedenza
e hai finito.
|
|
TheKaneB (Member)
Guru^2
Messaggi: 1792
Iscritto: 26/06/2009
|
Postato originariamente da Mte90:
il firewall non è difficile da mettere sù.
lo dico per l'esperienza che ho (che è molto poca).
basta usare il firewall del router tipo quell idella netgear o linksys che hanno un buon sistema facilmente configurabile per il firewall o usare un pc che fà da firewall mettendoci sopra pfsense o qualcos'altro.
di solito è molto semplice:
si configura l'ip su cui deve agire la regola
si imposta se in uscita o in entrata
si imposta la porta su cui deve agire la regola o il protocollo
si imposta se consentire o bloccare
dai un nome alla regola
le metti in ordine per la precedenza
e hai finito. |
con un sistema linux vero e proprio puoi fare anche di più: gestire le regole tramite delle "chains", cioè catene di filtraggio, oppure gestire le subnets in modo gerarchico, effettuare mangling e natting tra diverse subnets, packet filtering e molto altro :-) |
|
Mte90 (Member)
Guru
Messaggi: 1144
Iscritto: 25/03/2008
|
Postato originariamente da TheKaneB:
Postato originariamente da Mte90:
il firewall non è difficile da mettere sù.
lo dico per l'esperienza che ho (che è molto poca).
basta usare il firewall del router tipo quell idella netgear o linksys che hanno un buon sistema facilmente configurabile per il firewall o usare un pc che fà da firewall mettendoci sopra pfsense o qualcos'altro.
di solito è molto semplice:
si configura l'ip su cui deve agire la regola
si imposta se in uscita o in entrata
si imposta la porta su cui deve agire la regola o il protocollo
si imposta se consentire o bloccare
dai un nome alla regola
le metti in ordine per la precedenza
e hai finito. |
con un sistema linux vero e proprio puoi fare anche di più: gestire le regole tramite delle "chains", cioè catene di filtraggio, oppure gestire le subnets in modo gerarchico, effettuare mangling e natting tra diverse subnets, packet filtering e molto altro :-) |
si thekaneb lo sò ho cercato di fargliela semplice visto che lorenzo diceva che era complicato |
|