Buongiorno a tutti.
Per la rubrica "inventiamoci cose malsane" ecco lo spunto per il brainstorming di oggi
Scenario:
Una ditta qualsiasi che produce tubi in quel di Dalmine
Regole aziendali che impediscono (forse) l'uso di gtalk.
un simpatico proxy modificato che lo fa funzionare, girante (nel senso che gira) su un server linux.
Per nascondere un po' questa cosa, il firewall della macchina consente l'accesso solo ad una whitelist (ip / mac address).
Purtroppo questa soluzione non è sempre possibile dato che alcuni si collegano in vpn da casa, alcuni usano dhcp, alcuni sono all'estero ecc ecc.
Come si potrebbe fare? una pagina di login che apre il fw all'indirizzo ip per X ore?
networking sovversivo
- gdeber
- GranGianGnomo
- Messaggi: 1547
- Iscritto il: 13 set 2001, 10:40
- Località: Rivolta d'Adda
- Contatta:
networking sovversivo
***L'assembler è alla base dell'universo®***
http://www.mecheros.it
http://www.mecheros.it
mmm penso di non aver capito bene il problema però...
se sei quello che ha messo in piedi i server e in generale controlli le macchine, dovresti riuscire sia a livello di dhcp che a livello di vpn a "forzare" l'assegnamento degli indirizzi in modo che i computer collegati ottengano sempre un indirizzo valido per la whitelist...
oppure, non ho capito la domanda
se sei quello che ha messo in piedi i server e in generale controlli le macchine, dovresti riuscire sia a livello di dhcp che a livello di vpn a "forzare" l'assegnamento degli indirizzi in modo che i computer collegati ottengano sempre un indirizzo valido per la whitelist...
oppure, non ho capito la domanda
1) tu sei normale (quanto mi costa ammetterlo)[vava]
2) un palo nel culo è peggio solo di 2 o più pali nel culo [un cervello sempre più bruciato]
3) Sono gestionale. Sono geneticamente incoerente
4) Siamo in Italia, mica in un paese civile... [pensiero condiviso e condivisibile]
5) Se in un primo momento l'idea non è assurda, allora non c'è nessuna speranza che si realizzi [A. Einstein]
2) un palo nel culo è peggio solo di 2 o più pali nel culo [un cervello sempre più bruciato]
3) Sono gestionale. Sono geneticamente incoerente
4) Siamo in Italia, mica in un paese civile... [pensiero condiviso e condivisibile]
5) Se in un primo momento l'idea non è assurda, allora non c'è nessuna speranza che si realizzi [A. Einstein]
- gdeber
- GranGianGnomo
- Messaggi: 1547
- Iscritto il: 13 set 2001, 10:40
- Località: Rivolta d'Adda
- Contatta:
eh purtroppo non lo sono...oMAR ha scritto: se sei quello che ha messo in piedi i server e in generale controlli le macchine
infatti pensavo anche io, ma nel caso di vpn attraverso appositi apparati (che magari nattano pure), il mac address resta quello della sorgente oppure dell'apparato che effettua il nat?Sbienk ha scritto: Ma il murodifuoco filtra contemporaneamente su ip e macadd? non puoi usare solo il macadd?
Comunque quello che volevo evitare era di mettere una whitelist, o magari gestirla in modo più furbo...
potrei anche mettere squid a fare autenticazione senza impostare regole sul fw
alla fine diventerebbe così
squid -> ntlmaps -> isa server -> mondo
***L'assembler è alla base dell'universo®***
http://www.mecheros.it
http://www.mecheros.it