Zákaz prohledávání sítě

cyril

Zákaz prohledávání sítě
« kdy: 22. 05. 2014, 22:59:45 »
Zdravím, potreboval by som v Lubuntu 14.04 zakázať užívateľovi "group users" prehľadanie lokálnej siete "network, smb" ale chcem zachovať tlač. na sieť. tlač. (na IP nie na zdieľanú).     Vďaka.
« Poslední změna: 23. 05. 2014, 09:09:05 od Petr Krčmář »


Jenda

Re:Zákaz prohledávání sítě
« Odpověď #1 kdy: 23. 05. 2014, 18:01:22 »
Nelze.

Jenda

Re:Zákaz prohledávání sítě
« Odpověď #2 kdy: 23. 05. 2014, 18:02:42 »
Nebo asi jo, můžeš mu pomocí "iptables -m owner" zakázat přístup na ostatní Samby v síti. Ale přijde mi to jako bezpečnostní opatření na prd, může si třeba připojit vlastní zařízení.

Lol Phirae

Re:Zákaz prohledávání sítě
« Odpověď #3 kdy: 23. 05. 2014, 18:09:58 »
Kravina...  ::)

cyril

Re:Zákaz prohledávání sítě
« Odpověď #4 kdy: 23. 05. 2014, 22:02:21 »
Ja som myslel aby užívateľ nemohol sa šprtať po ostatných pc v sieti ale iba aby si niečo pozrel na nete a napísal text a vytlačil ho.
Napadlo ma stopnúť sambu ale neviem či by to pomohlo.


Jenda

Re:Zákaz prohledávání sítě
« Odpověď #5 kdy: 23. 05. 2014, 22:38:20 »
Ja som myslel aby užívateľ nemohol sa šprtať po ostatných pc v sieti
Aha, takže lokální uživatel by neměl, ale kdokoli jiný může. Normální člověk by nastavil ostatní počítače tak, aby to nevadilo…

ale iba aby si niečo pozrel na nete a napísal text a vytlačil ho.
Ano, to dělají třeba ty iptables.

Napadlo ma stopnúť sambu ale neviem či by to pomohlo.
Ne, nepomohlo, samba je (v tomto případě) server. Navíc uživatel si ji klidně můžeš spustit taky (na neprivilegovaném portu). Ale nemá to s tím nic společného.

JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re:Zákaz prohledávání sítě
« Odpověď #6 kdy: 23. 05. 2014, 23:51:05 »
Ja som myslel aby užívateľ nemohol sa šprtať po ostatných pc v sieti ale iba aby si niečo pozrel na nete a napísal text a vytlačil ho.
Napadlo ma stopnúť sambu ale neviem či by to pomohlo.

Tedy ta vase sit musi byt pekna cochcarna, ze se musi vymyslet slozita harafikovita reseni, aby si uzivatel nemohl lezt, kam se mu zachce.

Sten

Re:Zákaz prohledávání sítě
« Odpověď #7 kdy: 24. 05. 2014, 23:15:11 »
Lze to udělat pomocí iptables, ale nedělá se to, bezpečnost každého počítače by se měla řešit na vstupech, ne na výstupech ostatních počítačů, jelikož to druhé lze celkem snadno obcházet třeba připojením jiného počítače.

cyril

Re:Zákaz prohledávání sítě
« Odpověď #8 kdy: 24. 05. 2014, 23:45:49 »
Je to PC kde môže prísť každý a surfovať a robiť čo chce, ale v sieti sú zdielané data ktoré nemusia vidieť aj keď nie sú dôležité. Zatiaľ to riešim cez iptables(tzv. firewall ufw) zakázaním všetkej komunikácie a povolením portov 53,80,443, ešte ostáva sieť. tlačiareň. 

Sten

Re:Zákaz prohledávání sítě
« Odpověď #9 kdy: 24. 05. 2014, 23:50:35 »
Je to PC kde môže prísť každý a surfovať a robiť čo chce, ale v sieti sú zdielané data ktoré nemusia vidieť aj keď nie sú dôležité. Zatiaľ to riešim cez iptables(tzv. firewall ufw) zakázaním všetkej komunikácie a povolením portov 53,80,443, ešte ostáva sieť. tlačiareň.

Tak to by mě zajímalo, proč je to PC ve stejné síti jako ta sdílená data? Správné řešení by bylo to PC dát do vlastní sítě (stačí VLAN s oddělením přes switche), odkud by na ty sdílená data nemělo přístup.

JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re:Zákaz prohledávání sítě
« Odpověď #10 kdy: 25. 05. 2014, 00:14:50 »
Je to PC kde môže prísť každý a surfovať a robiť čo chce, ale v sieti sú zdielané data ktoré nemusia vidieť aj keď nie sú dôležité.

A jak se na ta sdilena data dostane? To tam nemate zadnou autentikaci k pristupu???

Jenda

Re:Zákaz prohledávání sítě
« Odpověď #11 kdy: 25. 05. 2014, 07:17:52 »
Správné řešení by bylo to PC dát do vlastní sítě (stačí VLAN s oddělením přes switche), odkud by na ty sdílená data nemělo přístup.
Správné řešení by především bylo nepublikovat data jen tak volně do sítě přes otevřenou samba share. Ale ta VLAN samozřejmě taky není k zahození.

JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re:Zákaz prohledávání sítě
« Odpověď #12 kdy: 25. 05. 2014, 10:00:19 »
Jo, tady asi nekdo dela veci microsoftim zpusobem: Povol vsem uplne vsechno a pak to obchazej pomoci nejakych berlicek.

cyril

Re:Zákaz prohledávání sítě
« Odpověď #13 kdy: 26. 05. 2014, 21:16:38 »
No ja som tu nie od toho ako sa rieši sieť ale kvôli jednému pecku nebudem riešiť celú infraštruktúru. To ma netrápi, iptables funguje ako má, tak to stačí. Ešte by som potreboval niečo ako Lockdown Editor pre Lubuntu (Pessulus ale som ho nenašiel ). Ak vás niečo napadá, ta vďaka.

JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re:Zákaz prohledávání sítě
« Odpověď #14 kdy: 26. 05. 2014, 22:49:12 »
Nevim, o co ti jde, ale mozna by bylo zajimave se mrknout na policykit a selinux, jestli to nahodou neumeji.