Александр:
Вообще надо просто подробнее смотреть как и на каком dst-port работает яндексовая реализация днскрипт. На udp/53 его, в теории, ничто не ограничивает и ограничивать не может.
Тут дело банально в том, что для установки браузера права локального администратора не нужны, для установки плагина на этот браузер - тем более, а в пределах самого себя этот браузер с его плагинами может творить практически всё что ему вздумается.
Александр:
Завернуть то завернёт, но.
DNSCrypt, строго говоря, не днс-протокол. Вернее не стандартный. И работает поверх стандартного. И в теории может юзать любой протокол/порт.
На данный момент, судя по всему, если его придушить фаерволом - dnscrypt-клиент будет юзать стандартный системный резольвер, но они работают над этой проблемой. Кхм.
Александр:
что бы пользователи не могли юзать сторонний днс - надо отбирать права локального администратора. Как правило - этого достаточно.
Ну а в случае с теми же тындекс днс-ками скорее всего не поможет.
KBegemoT:
Почитайте что такое wine. Это всего лишь преобразователь API, если приложение обращается к сети через WinAPI - Wine преобразует запросы в POSIX API. Самому Wine глубоко пофигу на наличие/отсутсвие сетевого подключения и ovpn-клиента - это уже забоса самой ОС.
KBegemoT:
Wine "цепляет" сетевое подключение нативно. На его стороне настраивать не нужно ничего. Если вы хотите что бы ваше приложение подключалось на определённый адрес через vpn-туннель (в данном случае ovpn) - вам нужно соответствующим образом настроить маршрутизацию в используемой вами ОС (в данном случае Linux)
Иван Базайченко:
белого айпишника нет, поэтому гейт.
Сам вопрос не актуален, в общем то. Как я уже сказал - буду смотреть в сторону переезда на впс полностью. С линуксами попроще в этом плане. В виндах, как я всё больше убждаюсь на опыте, всё гвоздями прибиваетс к АД, и чем дальше - тем больше. Оно может и не плохо, но не всегда удобно.
Иван Базайченко: ещё мне подкинули идейку по использованию веб-клиента 1ски, тоже интересно и надо будет подумать на этот счёт, но о лицензионности, кхм, придётся забыть. лицензию на 1сный сервер никто отплачивать не будет конечно.
Но зато это работало бы очень быстро, и очень удобно...
Иван Базайченко: прошу прощения за очепятки, пишу быстро и с коцаной клавиатуры. Да и просто хочется отдохнуть после работы. Первый ответ писал в метро с телефона :)
Banzaii:
Так-с. Был посыл от начальства переместить 1ску из офиса на удалённый физический сервер в условно неведомых далях; сам сервер стоитза провайдерским натом, отсюда родился овпн-гейт на впске; физический сервер с 1с коннектитсяк впске, клиентытак же коннектятся к ней; овпн использует сертификаты, логин на сервер - обычный логин через рдп локального пользователя.
Ах да, все клиенты удалённые, бухгалтеры работают по домам.
В идеале хотелось бы иметь единую авторизацию с овпн и по рдп с использованием одного сертификата для каждого пользователя; при чём желательно на токене - не столько даже с целью секурности уже, а сколько с ццелью удобства для пользователя и для меня любимого. Сделать единую инсталяшку овпн со всеми прибамбасами, но что бы не пихать сертификат на все ноуты и прочее клиентов, а использовать токен. Кроме того избавится от лишнего ввода пароля на рдп для пользователя, т.к. по факту пользователь сейчас вводит ключ от хранилища сертификата для овпн, и собственно сам пароль для рдп.
В общем, всё это очень громоздко и не удобно; посему на данный момент я просто напросто хочу отказаться от физического сервера и перенести всё на впс. НО. 20 евро за винсервер на впс платить неохота, посему буду рассматривать вариант с убунтой.
Проблема в том, что надо так сделать сначала, а потом уже показать начальству. То есть все эксперименты за свой счёт.
P.S. хаспы давно уже не используем, 1ска работает с программными лицензиями.
Смысл не в количестве, а в качестве. Впрочем, я думаю, что этот вопрос более не актуален. Скорее всего буду пробовать поставить толстый клиент 1с на убунту с вайном и пытаться организовать доступ нескольких пользователей через реализацию rdp для линукс систем. Впрочем, к конкретной проработке этого вопроса ещё не приступал.
В результате использовал usb-флешку вместо TPM для шифрования системного раздела; безопасность относительная, но в моём случае приемлемая; от ovpn средствами микротика отказался, сделал сервер под дебианом на удалённом хостинге; сервер с 1с коннектится к ovpn серверу напрямую, к нему же подключаются клиенты.
АртемЪ:
в win управление доступом к файлам осуществляется на уровне OС; в nix'ах на уровне файловой системы
то есть в случае win имея непосредственный доступ к диску - например, из под другой винды - мы можем переназначить доступ так, как посчитаем нужным, просто заменив владельца файла на любого
в *nix управление доступом к файлам осуществляется на уровне файловой системы - если мы создали пользователя, назначили права на редактирование только этому пользователю, снесли линукс, поставили другой линукс - доступ к этому файлу мы уже не получим, т.к. его ACL закреплён для приказавшего долго жить пользователя на уровне файловой системы.
Вообще надо просто подробнее смотреть как и на каком dst-port работает яндексовая реализация днскрипт. На udp/53 его, в теории, ничто не ограничивает и ограничивать не может.
Тут дело банально в том, что для установки браузера права локального администратора не нужны, для установки плагина на этот браузер - тем более, а в пределах самого себя этот браузер с его плагинами может творить практически всё что ему вздумается.