Разрешить Подключение к серверу только по списку адресов

  • Автор темы Автор темы Kron
  • Дата начала Дата начала
K

Kron

Нужно разрешить подключение к серверу только определенному списку адресов.
Как это реализовать?
 
на линуховом файрволе сделать подобное:http://web2.inttrust.ru/site/itforum.nsf/49341ed5f4f44f64c3256cee002eeae7/5d40f5b6d4dece70c325743a00621eee!OpenDocument
в цепочке FORWARD ограничить список адресов через -s x.x.x.x/x.x.x.x где адреса можно перечисялять индивидуально либо по маске
есть --src-range
Ссылка скрыта от гостей

можно рэнджем
Ссылка скрыта от гостей

но не уверен насчет цепочки FORWARD

для БСД шлюзов есть списки (даже динамические)
 
Вопрос можно?
А нафига такое понадобилось? Из соображений безопасности? :) От кого прячетесь?
 
вопрос хороший не от не прачемся просто есть подозрения что некоторые личности отдав свои id или сами вне офиса подключаются к БД и юзают инфу, а энто не очень приятно
 
Kron сказал(а):
.. есть подозрения что некоторые личности отдав свои id или сами вне офиса подключаются к БД и юзают инфу, а энто не очень приятно
Нажмите, чтобы раскрыть...
Так, второй вопрос: чего достичь хочем?
- что-бы юзер работал только на рабочем месте (а дома - ни-ни?)
- что-бы злоумышленник через утёкшею копию id не проник в ваши секреты?
- что-ты легальный юзер не унес секреты на улицу?
 
Kron сказал(а):
вопрос хороший не от не прачемся просто есть подозрения что некоторые личности отдав свои id или сами вне офиса подключаются к БД и юзают инфу, а энто не очень приятно
Нажмите, чтобы раскрыть...

поставить проверку на check password ето первим делом:angry: запретить доступ вне офиса
 
Cleric-Lviv сказал(а):
поставить проверку на check password ето первим делом:) запретить доступ вне офиса
Нажмите, чтобы раскрыть...
Пароль утёк вместе с id. Так что поздно пить боржом

Сам отвечаю на свои вопросы:
- запретить вход "с улицы" - это сетевыми средствами (т.к. кто знает, что такое "улица"?). FireWall либо просто перейти в офисе на немаршрутизуемый протокол (на ip свет клином не сошёлся?);
- отсечь хаЦкеров с крадеными id - это включить check password, сменить их (пароли) и начать кампанию по смене ключей
- что-б легальный юзер не унес инфу на улицу - нереально. Захочет - унесет. Обсуждалось
 
Межно через переменные в notes.ini - ServerAllowAddresses, ServerDenyAddresses (это для доступа через NRPC).
 
Еще один вопрос вернее два: как отслеживать юзеров по ip(какой пользователь, когда и с какого ip юзает базу) и как это все сохранять куда то?
 
в админ клиенте server-status-notes user
Нажмите, чтобы раскрыть...
Но это динамичная система отслеживания, я к примеру не смогу посмотреть за месяц кто и с какого IP заходил, и рукля паникера не суну, чтобы показать, что твои крысы в офисе, а не на "улице". Просто как эту инфу прикрутить к базе и чтобы она велась во вьюхе или в форме разницы нет.
 
Kron сказал(а):
Но это динамичная система отслеживания, я к примеру не смогу посмотреть за месяц кто и с какого IP заходил, и рукля паникера не суну, чтобы показать, что твои крысы в офисе, а не на "улице". Просто как эту инфу прикрутить к базе и чтобы она велась во вьюхе или в форме разницы нет.
Нажмите, чтобы раскрыть...

Здесь наверно надобно уже писать какого нибудь агента, имхо я так думаю
 
агент, на новую форму ложит данные при открытии БД, как выцепить IP
 
Kron сказал(а):
Но это динамичная система отслеживания, я к примеру не смогу посмотреть за месяц кто и с какого IP заходил, и рукля паникера не суну, чтобы показать, что твои крысы в офисе, а не на "улице". Просто как эту инфу прикрутить к базе и чтобы она велась во вьюхе или в форме разницы нет.
Нажмите, чтобы раскрыть...

LOG_CONNECTIONS=1 в notes.ini
 
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ