[charlie]

1soproni: most jutottam, oda, hogy megvizsgáljam azt az squid webes nettilto izét. no, szal ez végülis azt csinálja csak, hogy modositja a konfig fájlt (vagyis egy acl szabályt) aztán ujratölti az squidot (vagy pontosabban, csak ujrakonfigolja). viszont, én arra a hülye ötletre jutottam, hogy megprobálom átütetni wines squidra, viszont ot t megakadtam, hogy a szogáltatást (mert ugy van/lesz telepítve) inditsam ujra (net stop squid meg net start squid) vagy ha kiadok ilyen módban egy -k reconfigurét akkor is mûködik?

no, meg ezt dobtam össze squid-hoz, ez mennyire jó konfigfájl?

Csatolt fájl:

•  squid.conf (0byte)
  Letöltések:: 9

[1soproni]

Idézet: charlie - Dátum: 2006. okt. 19., csütörtök - 10:18

1soproni: most jutottam, oda, hogy megvizsgáljam azt az squid webes nettilto izét. no, szal ez végülis azt csinálja csak, hogy modositja a konfig fájlt (vagyis egy acl szabályt) aztán ujratölti az squidot (vagy pontosabban, csak ujrakonfigolja). viszont, én arra a hülye ötletre jutottam, hogy megprobálom átütetni wines squidra, viszont ot t megakadtam, hogy a szogáltatást (mert ugy van/lesz telepítve) inditsam ujra (net stop squid meg net start squid) vagy ha kiadok ilyen módban egy -k reconfigurét akkor is mûködik?

no, meg ezt dobtam össze squid-hoz, ez mennyire jó konfigfájl?

Nemtom winen hogy mûködik a squid. A configot nézem

http_access allow all
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

Szerintem az elsõ sor után már hiába tiltasz...

Szerkesztette: 1soproni 2006. 10. 19. 11:01 -kor

[charlie]

hmm, akkor ha a végére rakom az allow all-t akkor ugy jo? (az a cél, hogy minden gép elérhesse a proxyt, viszont csak ezeket a portokon lehet adat (márha a proxyn megy keresztül)
bár, lehet, hogy felesleges..

[melon]

Idézet: charlie - Dátum: 2006. okt. 20., péntek - 14:58

hmm, akkor ha a végére rakom az allow all-t akkor ugy jo? (az a cél, hogy minden gép elérhesse a proxyt, viszont csak ezeket a portokon lehet adat (márha a proxyn megy keresztül)
bár, lehet, hogy felesleges..

Tudtommal elõbb allow, aztán deny
Tehát az elején felsorolod, amiket engedélyezel, aztán http_access deny all
Így csak azok futnak, amelyeket engedélyeztél.

[didyman]

Õõõ, javítsatok ki nyugodtan, de:
-elsõ lépésben letiltod az összes hozzáférést
-második lépésben engedsz a letiltottak közül egyet, majd megint egyet és így tovább.

Ha:
-elõször engedsz specifikus port-okat,
-majd az összeset letiltod

akkor az nekem nem tûnik logikusnak, mûködõnek..

[melon]

Idézet: didyman - Dátum: 2006. okt. 21., szombat - 13:24

Õõõ, javítsatok ki nyugodtan, de:
-elsõ lépésben letiltod az összes hozzáférést
-második lépésben engedsz a letiltottak közül egyet, majd megint egyet és így tovább.

Ha:
-elõször engedsz specifikus port-okat,
-majd az összeset letiltod

akkor az nekem nem tûnik logikusnak, mûködõnek..

Tudtommal a squid a first match wins elvet követi, ellentétben pl. bizonyos csomagszûrõkkel.
Illusztris példa a default squid konfigból:

# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager

[charlie]

közben énis rájöttem, hogy soronként keres szabályt az squid, tehát valszeg igylesz:

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_reply_access allow all
http_access allow all
icp_access allow all

meg mégegy kérdés: szal mivel ugye nem lehet ugy idõpontot megadni neki, hogy a második érték kisebb legyen mint az elsõ (tehát pl. 23 és 7 között) ezért két idõpontot kell felvennem egyet éjfélig, meg éjfél után..
no, szal squidban 24:00 vagy 0:00 van? (mármint 24:00 az utolso, vagy 23:59 az utolso, és 00:01 az elsõ perc)

ilyenhez:

acl 22 src "d:/squid/etc/22.txt"
acl 13 src "d:/squid/etc/13.txt"
acl delutan time 15:00-24:00
acl reggel time 00:01-07:00

aztán a tiltás hozzá

http_access deny !delutan 22
http_access deny !reggel 22
http_access deny !delutan 13
http_access deny !reggel 13

(ez az 1soproni féle nettiltáshoz kéne, hogy du 3 és reggel 7 között ne tiltson)

1soproni: Ha megengeded egy megjegyzés. a funkciokat tartalmazó fájlbol csak a pathos rész kell, amit ha beraksz pl. ilyen formában a tiltofunctions.php-ba akkor is megy faszán

function utvonal($path)
{
	$path = @realpath($path);
}

csak gondoltam szolok

[charlie]

jah, meg phpból lehet ActiveDirectoryn keresztül bejelentkezni (felhasználónév/jelszó ellenõrzése) és lehet phpból felhasználókat kezelni?

[1soproni]

Ha valaki megtalálja a megújult forgalomfelügyeletes lapon a nyitott portokat, az ossza meg velem!

[charlie]

egy kérdés: ha egy gép bevan dugva az egyik szerverportra, akkor ha egy azon a gépen futo szolgáltatást akarok megnyitni a helyi hálózatbol, ami nincs megnyitva (mármint a port) akkor onnan elérem, vagy ahhoz is meg kéne nyittatni?

[bibe]

Idézet: 1soproni - Dátum: 2006. okt. 17., kedd - 20:44

Samba PDC-vel akarom összehozni a group policyt és a leírások a poledit-et emlegetik. Akkor olvasgatok tovább.

Ha jol tudom a samba NT 4.0-at emulal. Ahhoz volt poledit.exe a server Resource Kit-ben, ha jol emlexem, bar mar qrva regen volt.... A Win2k-tol van AD es Group policy es nincs tovabb poledit.
Szerintem valahol a neten megtalalod, ha sokaig keresed...

[charlie]

ha jol tudom samba 3 már nem scak nt4-et tud emulálni.
vagy rosszul tudom?

[e-lias]

Idézet: charlie - Dátum: 2006. okt. 25., szerda - 10:54

egy kérdés: ha egy gép bevan dugva az egyik szerverportra, akkor ha egy azon a gépen futo szolgáltatást akarok megnyitni a helyi hálózatbol, ami nincs megnyitva (mármint a port) akkor onnan elérem, vagy ahhoz is meg kéne nyittatni?

El kell érned, függetlenül attól, hogy nincs kinyitva a port. A tûzfal elvileg a routerben van, nem a switch -ben.

[bibe]

Idézet: charlie - Dátum: 2006. okt. 25., szerda - 12:15

...
vagy rosszul tudom?

Mivel nem ismerem a Sambat, val'szeg neked van igazad. Valamikor azt hallottam, hogy NT4-et emulal.
De ha mar nem igy van, akkor valahogy meg kellett nekik oldani a policy szerkesztest, mert a Win2k-tol folfele beepitett eszkoz van ra...

[melon]

Idézet: charlie - Dátum: 2006. okt. 25., szerda - 12:15

ha jol tudom samba 3 már nem scak nt4-et tud emulálni.
vagy rosszul tudom?

Tartományvezérlõként csak NT4-es tartományt tud, de természetesen már régóta lehet Active Directory tag, viszont még nem tud AD tartományvezérlõ lenni (egyelõre.)

[charlie]

Idézet: e-lias - Dátum: 2006. okt. 25., szerda - 12:25

El kell érned, függetlenül attól, hogy nincs kinyitva a port. A tûzfal elvileg a routerben van, nem a switch -ben.

igen, közben kiderült, hogy volt egy tüzfall, amit nem én raktam oda, és azt áll-t az ótban (mivel nem tudtam, hogy ottvan, elsõre nem is néztem meg..)

[1soproni]

Idézet: melon - Dátum: 2006. okt. 25., szerda - 12:29

Tartományvezérlõként csak NT4-es tartományt tud, de természetesen már régóta lehet Active Directory tag, viszont még nem tud AD tartományvezérlõ lenni (egyelõre.)

Bocs, már sikeresen megoldottam a múlt héten

[1soproni]

Igen haldoklik a topic, srácok!
Mindenki ekkora hévvel dolgozik?
Jövõ héten érkezik 52 új gép. Elleszek velük egy darabig. Fõleg hogy megint beindul a körforgás. Új gépek be, régi gépek ki, át máshova, oda be a régiek, ki a mégrégebbiek...
Windows-telepítõ segédmunkásokat felveszek

[melon]

Idézet: 1soproni - Dátum: 2006. nov. 5., vasárnap - 12:05

Igen haldoklik a topic, srácok!
Mindenki ekkora hévvel dolgozik?
Jövõ héten érkezik 52 új gép. Elleszek velük egy darabig. Fõleg hogy megint beindul a körforgás. Új gépek be, régi gépek ki, át máshova, oda be a régiek, ki a mégrégebbiek...
Windows-telepítõ segédmunkásokat felveszek

Nekünk is most sikerült lecserélni egy géptermet (21 gép), de szerencsére a telepítés kb. 8-9 munkaóra alatt megvolt Az elsõ LCD monitoros géptermünk, kíváncsi leszek, mennyire abuzálják majd a diákok ezeket
Persze a régiek még parlagon hevernek, ezekbõl csak néhányat tudok majd hasznosítani.

[1soproni]

Tudja valaki hol lehet megadni olyat XP-ben, hogy a dokumentum könyvtárak másik meghajtóra kerüljenek? Úgy kellene, hogy a jövõben felvett userekre is érvényes legyen.