Вячеслав Николаев:
Зависит от степени использованияф интеренета в вашем офисе.
В простейшем случае открыть в chain=forward и out-interface=wan tcp 80, 443, udp 53, 123, + почту остальное в reject
Вячеслав Николаев:
Проще покопаться в gpo и найти способ запретить устанавливать все браузеры подряд. Посадить всех на хром, например. А хром, на сколько я знаю, можно жёстко залочить на установку всяких там плагинов и прочей ереси.
На крайняк, если уж совсем критично - IE и белые списки софта.
Вячеслав Николаев:
Да зачем, если прецедентов пока не было? Это не критичный насущный вопрос же, а, скорее, гипотетическая ситуация.
Вот кто из простых смерт... пользователей, простите, слышал о днскрипт?
Вячеслав Николаев:
Я о том и толкую. Физически невозможно будет отследить все подобные плагины etc.
Единственный путь - ещё больше ограничивать пользователя в правах :)
Александр:
Вообще надо просто подробнее смотреть как и на каком dst-port работает яндексовая реализация днскрипт. На udp/53 его, в теории, ничто не ограничивает и ограничивать не может.
Тут дело банально в том, что для установки браузера права локального администратора не нужны, для установки плагина на этот браузер - тем более, а в пределах самого себя этот браузер с его плагинами может творить практически всё что ему вздумается.
Александр:
Завернуть то завернёт, но.
DNSCrypt, строго говоря, не днс-протокол. Вернее не стандартный. И работает поверх стандартного. И в теории может юзать любой протокол/порт.
На данный момент, судя по всему, если его придушить фаерволом - dnscrypt-клиент будет юзать стандартный системный резольвер, но они работают над этой проблемой. Кхм.
Александр:
что бы пользователи не могли юзать сторонний днс - надо отбирать права локального администратора. Как правило - этого достаточно.
Ну а в случае с теми же тындекс днс-ками скорее всего не поможет.
KBegemoT:
Почитайте что такое wine. Это всего лишь преобразователь API, если приложение обращается к сети через WinAPI - Wine преобразует запросы в POSIX API. Самому Wine глубоко пофигу на наличие/отсутсвие сетевого подключения и ovpn-клиента - это уже забоса самой ОС.
KBegemoT:
Wine "цепляет" сетевое подключение нативно. На его стороне настраивать не нужно ничего. Если вы хотите что бы ваше приложение подключалось на определённый адрес через vpn-туннель (в данном случае ovpn) - вам нужно соответствующим образом настроить маршрутизацию в используемой вами ОС (в данном случае Linux)
Иван Базайченко:
белого айпишника нет, поэтому гейт.
Сам вопрос не актуален, в общем то. Как я уже сказал - буду смотреть в сторону переезда на впс полностью. С линуксами попроще в этом плане. В виндах, как я всё больше убждаюсь на опыте, всё гвоздями прибиваетс к АД, и чем дальше - тем больше. Оно может и не плохо, но не всегда удобно.
Иван Базайченко: ещё мне подкинули идейку по использованию веб-клиента 1ски, тоже интересно и надо будет подумать на этот счёт, но о лицензионности, кхм, придётся забыть. лицензию на 1сный сервер никто отплачивать не будет конечно.
Но зато это работало бы очень быстро, и очень удобно...
Иван Базайченко: прошу прощения за очепятки, пишу быстро и с коцаной клавиатуры. Да и просто хочется отдохнуть после работы. Первый ответ писал в метро с телефона :)
Banzaii:
Так-с. Был посыл от начальства переместить 1ску из офиса на удалённый физический сервер в условно неведомых далях; сам сервер стоитза провайдерским натом, отсюда родился овпн-гейт на впске; физический сервер с 1с коннектитсяк впске, клиентытак же коннектятся к ней; овпн использует сертификаты, логин на сервер - обычный логин через рдп локального пользователя.
Ах да, все клиенты удалённые, бухгалтеры работают по домам.
В идеале хотелось бы иметь единую авторизацию с овпн и по рдп с использованием одного сертификата для каждого пользователя; при чём желательно на токене - не столько даже с целью секурности уже, а сколько с ццелью удобства для пользователя и для меня любимого. Сделать единую инсталяшку овпн со всеми прибамбасами, но что бы не пихать сертификат на все ноуты и прочее клиентов, а использовать токен. Кроме того избавится от лишнего ввода пароля на рдп для пользователя, т.к. по факту пользователь сейчас вводит ключ от хранилища сертификата для овпн, и собственно сам пароль для рдп.
В общем, всё это очень громоздко и не удобно; посему на данный момент я просто напросто хочу отказаться от физического сервера и перенести всё на впс. НО. 20 евро за винсервер на впс платить неохота, посему буду рассматривать вариант с убунтой.
Проблема в том, что надо так сделать сначала, а потом уже показать начальству. То есть все эксперименты за свой счёт.
P.S. хаспы давно уже не используем, 1ска работает с программными лицензиями.
Смысл не в количестве, а в качестве. Впрочем, я думаю, что этот вопрос более не актуален. Скорее всего буду пробовать поставить толстый клиент 1с на убунту с вайном и пытаться организовать доступ нескольких пользователей через реализацию rdp для линукс систем. Впрочем, к конкретной проработке этого вопроса ещё не приступал.
Зависит от степени использованияф интеренета в вашем офисе.
В простейшем случае открыть в chain=forward и out-interface=wan tcp 80, 443, udp 53, 123, + почту остальное в reject