Alex_Buzz:
Вот вижу я в приведённом листинге правил фаервола последнее правило, дропающее все <прочие> входящие подключения, но не вижу перед ним что-либо, разрешающее входящий icmp
Вячеслав Николаев: кстати на счёт 53 udp - если по вышеописанной схеме днс на AD DC и в качестве сервера пересылки, то на форвард udp 53 открывать не нужно - только на output. И редиректить ничего не обязательно.
Вячеслав Николаев:
Зависит от степени использованияф интеренета в вашем офисе.
В простейшем случае открыть в chain=forward и out-interface=wan tcp 80, 443, udp 53, 123, + почту остальное в reject
Вячеслав Николаев:
Проще покопаться в gpo и найти способ запретить устанавливать все браузеры подряд. Посадить всех на хром, например. А хром, на сколько я знаю, можно жёстко залочить на установку всяких там плагинов и прочей ереси.
На крайняк, если уж совсем критично - IE и белые списки софта.
Вячеслав Николаев:
Да зачем, если прецедентов пока не было? Это не критичный насущный вопрос же, а, скорее, гипотетическая ситуация.
Вот кто из простых смерт... пользователей, простите, слышал о днскрипт?
Вячеслав Николаев:
Я о том и толкую. Физически невозможно будет отследить все подобные плагины etc.
Единственный путь - ещё больше ограничивать пользователя в правах :)
Александр:
Вообще надо просто подробнее смотреть как и на каком dst-port работает яндексовая реализация днскрипт. На udp/53 его, в теории, ничто не ограничивает и ограничивать не может.
Тут дело банально в том, что для установки браузера права локального администратора не нужны, для установки плагина на этот браузер - тем более, а в пределах самого себя этот браузер с его плагинами может творить практически всё что ему вздумается.
Александр:
Завернуть то завернёт, но.
DNSCrypt, строго говоря, не днс-протокол. Вернее не стандартный. И работает поверх стандартного. И в теории может юзать любой протокол/порт.
На данный момент, судя по всему, если его придушить фаерволом - dnscrypt-клиент будет юзать стандартный системный резольвер, но они работают над этой проблемой. Кхм.
Александр:
что бы пользователи не могли юзать сторонний днс - надо отбирать права локального администратора. Как правило - этого достаточно.
Ну а в случае с теми же тындекс днс-ками скорее всего не поможет.
KBegemoT:
Почитайте что такое wine. Это всего лишь преобразователь API, если приложение обращается к сети через WinAPI - Wine преобразует запросы в POSIX API. Самому Wine глубоко пофигу на наличие/отсутсвие сетевого подключения и ovpn-клиента - это уже забоса самой ОС.
add action=jump chain=forward jump-target=tcp protocol=tcp
add action=jump chain=forward jump-target=udp protocol=udp
add action=jump chain=forward jump-target=icmp protocol=icmp
Вы создаёте дополнительные цепочки, но не задаёте для них правила... зачем?