Selamlar, elbette hiyerarşik bir yapı ve tek bir noktadan ağ kaynaklarının kullanılması adına mysql, ldap gibi çözümler oldukça iş görüyor.
Fakat DHCP üzerinden IP dağıtırken, DHCP sunucusunda tüm IP'leri MAC'a tanımlı yapıp, DHCP ile verilen IP adresi dışında IP'lerin erişimini kesip ve bir php sayfasında Ad Soyad IP MAC tablosu tutup hangi IP adresi hangi MAC ile hangi kullanıcıda bildikten sonra tüm iptables snort ve benzeri işlemlerinizi IP üzerinden halledebilirsiniz. Biraz yorucu olur ama IP'leri eğer MAC üzerinden veriyorsanız güvenebilirsiniz. Benim DHCP sunucumda açık bir scope yok. Kullanıcıya bilgisayar veriyorsak ya da laptop gibi donanımlarını network'e dahil ediyorsak MAC adresini DHCP'den ekleyip IP sabitleyip o IP için iptables ve Snort'ta izin veriyorum oluyor bitiyor. Gerisi ve tüm traffic block zaten :) Saygılar Ozgur 4 Ağustos 2013 18:34 tarihinde Aytekin Aygün <[email protected]> yazdı: > > > > 4 Ağustos 2013 12:06 tarihinde Mucibirahman İLBUGA <[email protected] > > yazdı: > > 04-08-2013 11:48 tarihinde, Aytekin Aygün yazdı: >> > Zaten zurnanin zirt dediği yer burasi. Bunu yapmak için ya SSL >> > sertifika yöntemini kullanacaksiniz yada clientlara proxy gireceksiniz. >> > >> > >> Selamlar, >> Aslında aklıma şu geldi: Tüm 443 portunu yasaklasak. Sadece banka veya >> diğer ihtiyaç duyulan adreslerin IP'lerini girsek. Yani "şu IP'ler >> değilse yasakla" şeklinde yazsak... >> >> Bankalar haricinde 443 kullanan çok yer var mı?Ne kadar fazla olabilir >> ki?... >> >> Merhaba, > Bunu da kullananlar var ve kontrolün tamamen elinizde olması açısından > olabilir. Ama bu sefer de whitelist için IP blokları ile uğraşacaksınız. > Bir süre sonra taşlar yerine oturmaya başlar elbette ama o süre > ihtiyaçlarınız doğrultusunda bitmeyebilirde. > > Aslında tüm bu yöntemler ile bir şekilde (snort'u bu amaçla kullanmadım) > sonuçlar alıp, yolumuza devam edebiliyoruz. Fakat sonra işler karışmaya > başlıyor. Onu burdan blokla, bunu şurdan filtrele derken ipin ucu > yönetimsel olarak karışıyor. Bu konunun teknik olabilirliliklerini > tartışırken ideal olanı da atlamamak lazım. Ben istiyorum ki; yetki > gruplarımı oluşturayım, yasaklayacağım grubun yasaklı domain listesine > facebook.com'u ekleyeyim, http - https - vs. düşünmeyeyim. Geriye dönüp > baktığımda kime ne yetki vermişim hemen görebileyim. > > Kullanıcı yetkilendirmesi için de IP'lerin peşinden koşmaktan bıkmış biri > olarak geldiğim nokta; dansguardian-squid-iptables-ldap ile yapıyı kurup > clientlere proxy girmek ve kullanıcıları user/password mantığında internete > eriştirmek. Bir süredir kullanıyorum ve işler şimdilik yolunda. > > Mucip bey size önerim, bir kullanıcıda testlerinizi yapın derim. > Takıldığınız yerde yardımcı olmaya çalışırız. > > > -- > Saygılar, > Aytekin Aygün > > _______________________________________________ > Linux-sunucu E-Posta Listesi > [email protected] > > Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından > okuyabilirsiniz; > > Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen > e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 > dakika içinde üyeliğinizi sonlandırabilirsiniz. > https://liste.linux.org.tr/mailman/listinfo/linux-sunucu > > -- Ozgur
_______________________________________________ Linux-sunucu E-Posta Listesi [email protected] Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
