немного помучаю народ..
14-07-2008 01:58
к комментариям - к полной версии
- понравилось!
..техническими подробностями.. я, конечно, руководитель, но руководитель все-таки технический ;)
Имеется у нас дома, помимо стационарных компов, пара ноутбуков, пара КПКшек и мой коммуникатор, всё имеет на борту Wi-Fi, для чего в незапамятные времена был приобретен Wi-Fi-роутер марки SMC (гхыр его знает, что за зверь, но прошивку поновей найти - так и не получилось), и страдает ентот самый роутер разными уязвимостями, коими живущие поблизости малолетние какеры и кульхацкеры не пренебрегают возпользоваться. Ну, ладно бы инет пользовали - при пяти мегабитах - совсем не жалко, так ведь пытаются, маленькой собачки дочки, заломать гейтующий сервер, который, помима предоставления всей компьютерной порнографии доступа в инет, является общей внутриквартирной файлопомойкой, на которой,помимо всего прочего, лежат наши фотографии.. некоторые из них..эээ..не совсем для показа кому-то постороннему. естественно, после пятой попытки неправильного ввода пароля их блокирует, но тенденция мне, определенно не нравится. Посему было принято решение завязать с де(рь)мократией и кардинальным образом прикрутить-таки гайки с секрюьностью.
вот теперь идут те самые технические подробности ;)
гейтующий сервер имеет два интерфейса - внешний, смотрящий в инет с "белым" адресом и внутренний, смотрящий в локальную сеть 192.168.2.0/255.255.255.0. У Wi-Fi-роутера - тоже два интерфейса, внешний тоже во второй подсети, а внутренний - 192.168.3.0/255.255.255.0.
идея такая:
1. на гейтующем сервере (FreeBSD-7.0-STABLE) поднять VPN-сервер (видимо, mpd, как наиболее знакомый), выдающий при соединении с ним адреса, допустим, в подсети 192.168.0.0/255.255.255.0
2. принципиально закрыть файрволом (по-традиции стоит ipfw+natd) доступ куда бы то ни было из второй подсети
3. открыть доступ ко всему из подсети нулевой.
4. как идея, VPN-сервер может выдавать IP в зависимости от логина, с которым к нему подключились - можно перекрыть доступ куда не надо тёще и старшей дочке. хотя, для этого надо совсем настройки ipfw с нуля переписывать, а жутко лень.
ЗЫЖ to be continued ;)
вверх^
к полной версии
понравилось!
в evernote
..техническими подробностями.. я, конечно, руководитель, но руководитель все-таки технический ;)
Имеется у нас дома, помимо стационарных компов, пара ноутбуков, пара КПКшек и мой коммуникатор, всё имеет на борту Wi-Fi, для чего в незапамятные времена был приобретен Wi-Fi-роутер марки SMC (гхыр его знает, что за зверь, но прошивку поновей найти - так и не получилось), и страдает ентот самый роутер разными уязвимостями, коими живущие поблизости малолетние какеры и кульхацкеры не пренебрегают возпользоваться. Ну, ладно бы инет пользовали - при пяти мегабитах - совсем не жалко, так ведь пытаются, маленькой собачки дочки, заломать гейтующий сервер, который, помима предоставления всей компьютерной порнографии доступа в инет, является общей внутриквартирной файлопомойкой, на которой,помимо всего прочего, лежат наши фотографии.. некоторые из них..эээ..не совсем для показа кому-то постороннему. естественно, после пятой попытки неправильного ввода пароля их блокирует, но тенденция мне, определенно не нравится. Посему было принято решение завязать с де(рь)мократией и кардинальным образом прикрутить-таки гайки с секрюьностью.
вот теперь идут те самые технические подробности ;)
гейтующий сервер имеет два интерфейса - внешний, смотрящий в инет с "белым" адресом и внутренний, смотрящий в локальную сеть 192.168.2.0/255.255.255.0. У Wi-Fi-роутера - тоже два интерфейса, внешний тоже во второй подсети, а внутренний - 192.168.3.0/255.255.255.0.
идея такая:
1. на гейтующем сервере (FreeBSD-7.0-STABLE) поднять VPN-сервер (видимо, mpd, как наиболее знакомый), выдающий при соединении с ним адреса, допустим, в подсети 192.168.0.0/255.255.255.0
2. принципиально закрыть файрволом (по-традиции стоит ipfw+natd) доступ куда бы то ни было из второй подсети
3. открыть доступ ко всему из подсети нулевой.
4. как идея, VPN-сервер может выдавать IP в зависимости от логина, с которым к нему подключились - можно перекрыть доступ куда не надо тёще и старшей дочке. хотя, для этого надо совсем настройки ipfw с нуля переписывать, а жутко лень.
ЗЫЖ to be continued ;)
Комментарии (3):
боевой_клоп
14-07-2008-02:01
удалить
мммм - по идее - оптимально для техно-сообщества
чисто для количества идей
но такового у меня в списке - :(
чисто для количества идей
но такового у меня в списке - :(
Arrakktur_tor_ardWeist
14-07-2008-02:05
удалить
да я так, слегка..
чтобы народ не пугать - про наши фотографии порнографического характера упомянул ;)
мну больше не будет ;)
чтобы народ не пугать - про наши фотографии порнографического характера упомянул ;)
мну больше не будет ;)
боевой_клоп
14-07-2008-17:19
удалить
угу, из серии - на сервре много чего интересного:)))
Комментарии (3):
вверх^
Вы сейчас не можете прокомментировать это сообщение.
Дневник немного помучаю народ.. | Arrakktur_tor_ardWeist - Arr'akktur tor ard'Weist Shenoel |
Лента друзей Arrakktur_tor_ardWeist
/ Полная версия
Добавить в друзья
Страницы:
раньше»