Josef Hrabec napsal/wrote, On 03/06/07 21:57:
> Ano, s tou proxy to je take dobry napad a proxy server provozuji. Lec tato
> pravidla lze s uspechem pouzivat v akademickych sitich, kde mas patrne
> moznost pusobit. Avsak bezni uzivatele, kteri nechapou ani zakladni pojmy
> nejsou schopni neco takoveho pochopit ba se vubec naucit pouzivat.
Dokazal bych se znacne rozcilit nad poznamkou, ze chtit po odbornem
spravci nejakeho pocitace trivialni konfiguracni zasah si muze dovolit
jen od reality odtrzeny akademicky spravce - dost pochybuju, ze
uzivatele "u komercniho spravce" jsou tupe opice, ktere kdyz se jim na
pocitaci neco stane, tak ho vyhodi do nejblizsi popelnice a jsou si
koupit novy. Nicmene, rozcilovat se nebudu i kdyz mi pripada normalni,
ze s autem si musim poridit taky ridice - nebo se naucit ridit.
Nepochybuju, ze kazdy ten jeden clovek o kterem je rec ma nekoho, kdo mu
pocitac odvirovava a vubec resi nejruznejsi provozni problemy daneho
pocitace - a i kdyby tedy podle navodu (pricemz navod zni - "stahnete
tenhle ".reg" soubor, kliknete na nej - tim je konfigurace dokoncena)
nedokazal proxy nastavit uzivatel sam, jiste by to dokazal tento
spravce. A nakonec - navrhnul jsem metodu, ktera zachovala funkci tem,
kteri to z jakehokoliv duvodu neudelali - ti jen "nedosahli" na
nelimitovane spojeni. Nicmene, do toho, zrejme, nevidim - treba se "tam
u vas, v komercni sfere" zavirovane notebooky, pocitace, ktere prestanou
ziskavat adresu z DHCP a vubec - pocitace, ktere proste vyzaduji nejaky
servisni ci konfiguracni zasah skutecne proste vyhazuji - kdyz je
"kliknuti na ikonku" pro uzivatele takovy problem. To mi neprislusi
resit a uz vubec ne tady, i kdyz si nemyslim, ze jsou uzicvatele az
takovi debilove jak tu byli prezentovani. Kliknout an ikonku urcite umi
vsichni.
Nicmene, zpatky na zem.
Exploreru lze nastaveni proxy predat pres DHCP, nebo dalsimi
"autokonfiguracnimi" metodami tedy bez kooperace s uzivatelem. I kdyz je
mozne, ze to lze zakazat - kdo byl ovsem tak sikovny, ze to dokazal
zakazat, ten by mel byt dostatecne schopny proxy nastavit.
Zminoval, jsme i alternativni reseni - ze "reseni na miru" zvladnete
udelat s nevelkym programovanim - pres "tee" nebo bpf sbirat kopie
paketu, analyziovat obsah a podle nalezenych prikazu modifikovat
nastaveni firewallu. Nemyslim, ze by to presahlo 30 clovekohodin.
A urcite tu budou i dalsi reseni. Mozna je prilis limitujici vazat se
na ipfw.
Nicmene, to jsou skutecne vsechno jen navrhy. Dostanete jine, na neco
prijdete sam a vyberete si neco co vam bude vyhovovat nejlepe. jen mam
trochu obavy, ze se vam nepodari soucasne dosahnout zmeny, aniz by se
cokoliv zmenilo - bud' uzivatle nebo vy, a mozna obe strany, budete
muset nejakou tu energii vynalozit.
> Nic mene, posledni dotaz (protoze nemam zatim prilis zkusenosti s vytvarenim
> dynamickych pravidel), existuje u ipfw moznost, jak pri pruchodu paketu z
> interni site nekam ven na libovolnou IP a port (v nasem pripade necht je to
> port 21 tcp) vygenerovat automaticky pravidlo, ktere by pro danou IP obeslo
> defaultni pipe? Treba nejake "skip to", nebo tak neco?
IMHO ne.
Dan
--
Dan Lukes SISAL MFF UK
AKA: [EMAIL PROTECTED], [EMAIL PROTECTED],[EMAIL PROTECTED]
--
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l
