Firewall a dalsi funkce

Petr Klíma qaxi na seznam.cz
Čtvrtek Listopad 6 08:44:57 CET 2014 

Pěkné.

Jen dotaz na tu authorizaci pomocí Kerberosu. Ta funguje moc pěkně u Win 
(a pravděpodobně i Linux) stanic v doméně, ale jak to řešíte např. u 
Linuxů mimo doménu a nebo u utilit typu WGET ... ?

Díky za odpověď

S pozdravem

  Petr Klíma

Dne 6.11.2014 v 08:37 Michal Dobes napsal(a):
>
> Řeším něco podobného. A mám použitu kombinaci firewall (Mikrotik)
> a proxy serveru squid.
> V podstatě a zjednodušeně firewall nepustí ven přímo nic, vyjma pár
> výjimek. Ven vidí jen proxy server (a nevidí dovnitř firmy, je v DMZ).
> Ten po uživatelích  vyžaduje autorizaci pomocí Kerberosu, takže v logu
> mám u každého záznamu, kdo byl na daném počítači přihlášen (používá se
> automatické přihlašování uživatelovým účtem, takže nic nikde nezadává),
> takže není problém s terminálovým přístupem.
> V proxině můžete i filtrovat kam koho ne/pustit dle url, případně přidat
> modul na ketegorizaci a filtrovat dle kategorií, případně dát i modul
> na filtraci vnitřku https.
> Návštěvy řeší hotspot webové přihlášení, což dělá Mikrotik. Pro wifiny
> mám na to zvlášť nezabezpečené SSID jdoucí přes VLANy/VPLS na ten jeden
> centrální hotspot portál s úplnou izolací od firmy i jednotlivých
> návštěv od sebe. Na ethernetu mám 802.1x, takže cizí stroje jsou
> poslány také automaticky do guest vlany a hotspot portál.
> Soukromé krabičky zaměstnanců (mobily/noťasy) mají své třetí SSID, kde
> má každý uživatel svůj soukromý WPA2 klíč a je puštěn ven přímo
> do internetu lehce rychlostně zaříznut (a samozřejmě ne do firmy).
> Firemní krabičky se prokazují buď členstvím v doméně nebo certifikátem
> přes 802.1x na Ethernetu ina wifině a jdou pak dovnitř firmy.
> Ven mají tu proxinu (kde je použita autokonfigurace, ať se lidem vypne,
> když s noťasem cestují).
> Mikrotiky řeší i DHCP a VPNky mezi pobočkami přes GRE/IPsec. Detail,
> že jsou všude dva vedle sebe se aktivně zálohující při výpadku jednoho
> to druhý vezme vše na sebe automaticky se občas také už hodil.
> Místo Mikrotiku jde to stejné si ubastlit i linuxem, používal jsem
> předtím, ale za těch pár korun, co stojí, to nemá smysl.
>
> M.
>
>
>
>
>
> _______________________________________________
> Linux mailing list
> Linux na linux.cz
> http://www.linux.cz/mailman/listinfo/linux


-- 

       Petr Klíma
    <qaxi na seznam.cz>

Další informace o konferenci Linux