作者 主題: 怪客戶需求  (閱讀 7591 次)

0 會員 與 1 訪客 正在閱讀本文。

hopeliao

  • 活潑的大學生
  • ***
  • 文章數: 319
    • 檢視個人資料
怪客戶需求
« 於: 2003-12-10 10:35 »
各位先進:
小弟最近有個CASE, 客戶需求是這樣子的,
由於該客戶因為某些原因, client需要連到WWW的某一個網站,
其他有關上網/MAIL/FTP/MSN等網路通訊均不許可
但是, 主管電腦2台, 卻不要做此限制..
等於說, 除了主管2台電腦外, 所以其他人的電腦均只能連上指定網站..
不知道各位先進在這方面有沒有什麼好的建議?
使用軟體方面或硬體方面均可, 但預算有限, 高階FW應該是不會接受!!
謝謝

日京三子

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 8829
    • 檢視個人資料
    • http://www.24online.cjb.net
怪客戶需求
« 回覆 #1 於: 2003-12-10 10:42 »
利用iptables+ Squid應該就可以達成!

1.讓所有人都是固定IP, 不論用手動設定或者是DHCP 發放.
2.讓主管的IP是直接轉送出去.
3.封死所有通訊協定, 把TCP跟UDP全部擋死.
4. 架設porxy, 只連接某一個網頁.
5.將所有人都設定為連接proxy.........

搞定!


其實也沒多複雜, 對吧!
哈克不愛的多合一輸入平台----->新香草口味
過去的時間不斷流逝,抹去的眼淚已成追憶;
乾枯的雙手無力阻止,再會了我遠去的曾經。

hopeliao

  • 活潑的大學生
  • ***
  • 文章數: 319
    • 檢視個人資料
怪客戶需求
« 回覆 #2 於: 2003-12-10 10:49 »
學長的意思是. 使用一台主機加上Linux來達成? 嗯..和我當初想的一樣, 但是要另外報一台PC+LINUX的費用, 對方覺得太高,
想問看看, 有沒有簡單的IPSHARE可以做到? 使用2台IPSHARE來管理不同的權限..但現在的IPSHARE好像沒有鎖只能單一網址可以連的功能

日京三子

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 8829
    • 檢視個人資料
    • http://www.24online.cjb.net
怪客戶需求
« 回覆 #3 於: 2003-12-10 11:13 »
引述: "hopeliao"
學長的意思是. 使用一台主機加上Linux來達成? 嗯..和我當初想的一樣, 但是要另外報一台PC+LINUX的費用, 對方覺得太高,
想問看看, 有沒有簡單的IPSHARE可以做到? 使用2台IPSHARE來管理不同的權限..但現在的IPSHARE好像沒有鎖只能單一網址可以連的功能


要另外報一台PC+LINUX的費用?

我想, 應該價格十萬是可以接受的範圍吧! 基本上, 要做到有網路控制的防火牆, 最便宜的也超過八萬以上, 而且功能還爛爛的... 而且本身一定會掛一個2.5"的硬碟在身上, 就跟PC沒兩樣的架構......

不過, 我覺得, 我推薦的組合算是很不錯也很適當的, 剛好物盡其用型的組合...

我猜, 你的客戶一定是聽到Linux就搖頭的那群搖頭族吧?
哈克不愛的多合一輸入平台----->新香草口味
過去的時間不斷流逝,抹去的眼淚已成追憶;
乾枯的雙手無力阻止,再會了我遠去的曾經。

hopeliao

  • 活潑的大學生
  • ***
  • 文章數: 319
    • 檢視個人資料
怪客戶需求
« 回覆 #4 於: 2003-12-10 11:34 »
沒錯, 因為他傳統的印象是, 買台像HUB一樣的小盒子就有這種功能了~
所以我當初報一台PC+LINUX安裝 他就嚇了一跳.. 想說我只要一點功能, 怎麼給我找台PC了~ 所以我也不知 道該怎麼解釋!

日京三子

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 8829
    • 檢視個人資料
    • http://www.24online.cjb.net
怪客戶需求
« 回覆 #5 於: 2003-12-10 12:20 »
引述: "hopeliao"
沒錯, 因為他傳統的印象是, 買台像HUB一樣的小盒子就有這種功能了~
所以我當初報一台PC+LINUX安裝 他就嚇了一跳.. 想說我只要一點功能, 怎麼給我找台PC了~ 所以我也不知 道該怎麼解釋!


那還不簡單!

現在馬路上很多店家在賣那種很可愛很小一台的mini-PC, 買一台來, 裝兩張網路卡, 然後裝Linux就好啦~~

這麼簡單的變形, 還要我教......... 失敗!
哈克不愛的多合一輸入平台----->新香草口味
過去的時間不斷流逝,抹去的眼淚已成追憶;
乾枯的雙手無力阻止,再會了我遠去的曾經。

harrier

  • 榮譽博士
  • 俺是博士!
  • *****
  • 文章數: 1856
  • 性別: 男
    • 檢視個人資料
    • 國屬武裝兵
怪客戶需求
« 回覆 #6 於: 2003-12-10 12:20 »
引述: "hopeliao"
沒錯, 因為他傳統的印象是, 買台像HUB一樣的小盒子就有這種功能了~
所以我當初報一台PC+LINUX安裝 他就嚇了一跳.. 想說我只要一點功能, 怎麼給我找台PC了~ 所以我也不知 道該怎麼解釋!


像 HUB 一樣的 NetScreen 5GT/XT 要價 NT$35000 上下,
像 PC 一樣裝個 Linux 一樣的功能不到 20000 含顯示器...

給他比價就知道了。
...90Net(90:1200/1203),GameNET(99:700/707),ALLNet(92:9200/3111),InfoNet(30:100/103)..MaximusCBCS(浮懷),AirNet,TenderNet,StormNet,FidoNet...
<<- www.nas.vg ->>

hopeliao

  • 活潑的大學生
  • ***
  • 文章數: 319
    • 檢視個人資料
怪客戶需求
« 回覆 #7 於: 2003-12-10 12:32 »
嗚~~日京三子大好兇@@~
是該BOSS認為那個像HUB一樣的東東, 只要2000元左右咩~
和他解釋那是不同的東東說不清楚咩@@
不然我也想用個準系統給他就好了!

harrier

  • 榮譽博士
  • 俺是博士!
  • *****
  • 文章數: 1856
  • 性別: 男
    • 檢視個人資料
    • 國屬武裝兵
怪客戶需求
« 回覆 #8 於: 2003-12-10 13:12 »
引述: "hopeliao"

是該BOSS認為那個像HUB一樣的東東, 只要2000元左右咩~
和他解釋那是不同的東東說不清楚咩@@


你要舉例同他解釋一下:東西越小越精巧、費用越高啊...
然後指著刀鋒伺服器的型錄說:看,好貴...   >;D
...90Net(90:1200/1203),GameNET(99:700/707),ALLNet(92:9200/3111),InfoNet(30:100/103)..MaximusCBCS(浮懷),AirNet,TenderNet,StormNet,FidoNet...
<<- www.nas.vg ->>

hopeliao

  • 活潑的大學生
  • ***
  • 文章數: 319
    • 檢視個人資料
怪客戶需求
« 回覆 #9 於: 2003-12-10 17:50 »
呼呼呼..這倒是好方法..呵..!! 謝囉!

a-su

  • 懷疑的國中生
  • **
  • 文章數: 45
    • 檢視個人資料
怪客戶需求
« 回覆 #10 於: 2003-12-13 22:59 »
cisco pix或許可以考慮,低階的check point也可以考慮
我認為當user一多的時候,用iptable很麻煩,因此有圖形化的管理介面會輕鬆許多,
想小弟覺得check point就很方便

vincent119

  • 憂鬱的高中生
  • ***
  • 文章數: 137
    • 檢視個人資料
怪客戶需求
« 回覆 #11 於: 2003-12-17 17:25 »
netscreen    也不錯

chiangtr

  • 活潑的大學生
  • ***
  • 文章數: 214
    • 檢視個人資料
怪客戶需求
« 回覆 #12 於: 2003-12-19 10:53 »
PIX 和 Check Point 都很貴吧....
看來那位BOSS 不是很小氣..要不就是之前有人不知怎麼給他"建議"過了
所以才會有"這種"的觀念......
如果是小氣, 就讓他知道啥叫"一分錢一分貨" (不過你要確定不會有人會讓你凸槌..)
要是他之前被人"建議"過了...那你就累一點, 重新給他洗個腦了... @@

chp

  • 懷疑的國中生
  • **
  • 文章數: 86
    • 檢視個人資料
怪客戶需求
« 回覆 #13 於: 2003-12-20 16:15 »
~~一般的 NAT Gateway 可以做到的~~

client需要連到WWW的某一個網站, 其他有關上網/MAIL..等網路通訊均不許可
   N_UserGroup      開放存取 80 ,但只能連到"某一個網站",其它埠關閉

主管電腦2台, 卻不要做此限制..
  Bo_UserGroup   不管制
因為只能連到"某一個網站",主管的電腦網頁是連接到非 80 埠的 Proxy

綜合上述只要有 LAN IP access filter ( by IP rage ) , WAN web filter 就可以了呀!
sunny-

dark

  • 俺是博士!
  • *****
  • 文章數: 1581
    • 檢視個人資料
怪客戶需求
« 回覆 #14 於: 2003-12-20 17:25 »
防火牆種類這麼多... 百萬級的都有...

不過看了看 , 那個老闆好像只要員工上某一個網站的樣子
如果我是那個老闆 , 有這樣的需求的話
小弟的做法是 , 所有員工禁止上網 , 只有主管那兩台
想要上那個特定網站需求呢 ...
把那個站 copy 回主管電腦 (如果想長期 , 不妨跟那個站商量作為備份站)

再次之呢...
主管電腦架個虛擬主機充當備份站吧..... (未免省過頭了吧)

其實小弟不知道撿幾台 p133 的電腦來灌 linux 當 nat 了...
他們公司難道不淘汰電腦的嗎...
在指令列如何下 , 能看見規則..修改規則 , 那也只需要一個 system() 就能轉成網頁
不過這些...... 重點是誰要管理
(雖說 iptables 較難 , 但其他圖形介面 F/W一樣要學習
重點是觀念 , 介面問題跟英文能力比較有關吧... f^^)

另外 , 如三子學長說的方式.. dhcp + nat + squid 就能完成了
功能也不差 , 簡直可說 "還有許多多變的空間"

如果想再簡便一點 , prerouting 修改區網內所有 ip 到該網站即可...
恐怕主管的電腦+虛擬主機可能會搞定..... (有空小弟也來試試... ^^)

shaking

  • 榮譽學長
  • 憂鬱的高中生
  • ***
  • 文章數: 152
    • 檢視個人資料
怪客戶需求
« 回覆 #15 於: 2003-12-20 21:11 »
引述: "dark"
防火牆種類這麼多... 百萬級的都有...

不過看了看 , 那個老闆好像只要員工上某一個網站的樣子
如果我是那個老闆 , 有這樣的需求的話
小弟的做法是 , 所有員工禁止上網 , 只有主管那兩台
想要上那個特定網站需求呢 ...
把那個站 copy 回主管電腦 (如果想長期 , 不妨跟那個站商量作為備份站)

再次之呢...
主管電腦架個虛擬主機充當備份站吧..... (未免省過頭了吧)


這個部份跟我家在大陸的系統有點像,我應該可以瞭解這個老闆的要求點在哪邊了,呵,因為現在好像有部份下游廠商,也就是客戶,都利用 webeip 的方式,要求上游供應商「上他們的 eip 網站取得訂單,以及回報訂單的送貨狀況」,甚至報價,或是一些有的沒的,意圖把「輸入人力成本」轉嫁到供應商頭上,所以才會需要在「本來沒開放 inetrnet 連線的內部網路」開一個固定上哪個網站的這個要求。

  我自己的作法,是利用切割子網的方式,切出一個「只能連到固定網站」的區段,跟「不受限網路」還有「完全不允許上網」三個區段,一部 PC/Linux 利用 iptable 管制只能上一個網站的跟完全不准上網的,至於不受限的那個,直接一台小 NAT 就算了 ^^

  希望這個有點幫助 ^^
img]http://www.shaking.idv.tw/op.gif[/img]

francisyap

  • 憂鬱的高中生
  • ***
  • 文章數: 186
    • 檢視個人資料
怪客戶需求
« 回覆 #16 於: 2004-01-28 18:02 »
引用
2.讓主管的IP是直接轉送出去.


請教學長我正要做這樣的Case...
如何讓主管的IP是直接轉送出去..完全不會受限制但也要使用Proxy

引用
4. 架設porxy, 只連接某一個網頁.


我是要連接某幾個網頁only
在squid如何設定呢?

引用
將所有人都設定為連接proxy.........


這個我懂設定Tranparent的Proxy

謝謝指導!![/quote]

shaking

  • 榮譽學長
  • 憂鬱的高中生
  • ***
  • 文章數: 152
    • 檢視個人資料
我還是覺得用 iptables 方便多了....
« 回覆 #17 於: 2004-01-29 06:30 »
引述: "francisyap"
引用
2.讓主管的IP是直接轉送出去.


請教學長我正要做這樣的Case...
如何讓主管的IP是直接轉送出去..完全不會受限制但也要使用Proxy
引用
4. 架設porxy, 只連接某一個網頁.


我是要連接某幾個網頁only
在squid如何設定呢?

引用
將所有人都設定為連接proxy.........


這個我懂設定Tranparent的Proxy

謝謝指導!!


我的作法並沒有利用到 proxy,也就是沒有使用 squid...

我單純的利用 netmask 的方式,比方說 192.168.1.0/24 這個介面就直接用 iptables 直接轉出去,也就是讓主管、老闆的電腦不會因為限制上的問題有網頁看不到。

另外,再利用 ifconfig 在同樣網路卡上作一個 eth1:1 的 192.168.2.0/24 這就是所有的一般員工用的 ip 範圍,就針對「連線目的地」作轉出就好了,如此,判定從 eth1:1 也就是來源是 192.168.2.0/24 的,先全部關掉,再開放 port 80 再針對幾個站台作開放,就可以達到想要的目標了。

喔,另外提示一下,如果您的內部網路沒有作 dns,記得要開放 dns 的 port 跟主機,不然會造成查不到 ip domain 照樣連不上哩 ^^

相關 iptables 設定可以看看鳥哥的站,我也是參考他的設定檔作的,實地作好以號到現在約已經兩個多月,還沒聽到有啥問題出現 ^^
代碼: [選擇]

# 允許 sinamail
  /sbin/iptables -t nat -A POSTROUTING -s $SUBINNT \
    -o $EXTIF -d 210.200.138.21 -j MASQUERADE

# 註: $subinnt 就是內部網路來源的網路介面
img]http://www.shaking.idv.tw/op.gif[/img]

francisyap

  • 憂鬱的高中生
  • ***
  • 文章數: 186
    • 檢視個人資料
怪客戶需求
« 回覆 #18 於: 2004-01-29 10:57 »
感謝shaking學長的回覆!!

我了解你的意思..這也是另外一種做法!!

但現在我要的某個功能,例如 : 只允許所有的Client只能Access http://www.abc.com and http://www.abc.com.my

好像只有Squid Proxy Server功能做到..但我不懂如何設定

請教懂設定的學長的指導

duncanlo

  • SA 苦力組
  • 俺是博士!
  • *****
  • 文章數: 7312
    • 檢視個人資料
怪客戶需求
« 回覆 #19 於: 2004-01-29 22:35 »
有一些sock proxy,
連msn,icq的"內容"都可以過濾...

明月舞清風

  • 憂鬱的高中生
  • ***
  • 文章數: 173
    • 檢視個人資料
Re: 怪客戶需求
« 回覆 #20 於: 2004-01-30 00:49 »
嗯 ,這樣的例子我有在一個客戶那邊有實做過。需求也很簡單,一台功能較強大的分享器就搞定了。我的方法如下...

系統需求:分享器一台,要有mac 控制以及比較深入封包過濾功能的
建議您要注意封包過濾的部分。有的分享器是可以依內部IP位置直接鎖死封包過濾規則的,這才是我們的需求。我也是試了好幾台才找到我需要的分享器。至於我用的是哪一台,sorry...那是半年前的案子,忘了....

規劃:所有電腦跑dhcp,並由分享器去分派IP。
其中主管則由分享器鎖住MAC ADDRESS去給予某段固定位置。我的CASE中是規劃一段,好像是192.168.123.10~19給他,因為我的機器就多,且有擴充的需求。所以以下請依您的方式與需求修改
而其他的電腦則分給192.168.123.20~50。

在封包過濾的部分,我把192.168.123.10~19設為不套用規則,但是其他的機器就只有您說某個的網址才可以通連,並只開放該站的80 port可用,其他一率封住。

最後將分享器設為只有在某一台管理專用機器上才能夠存取,並加上密碼,這樣就可以了 8) 。頂多再規劃一台機器專門紀錄分享器的log而已....

以上供您做參考。

francisyap

  • 憂鬱的高中生
  • ***
  • 文章數: 186
    • 檢視個人資料
怪客戶需求
« 回覆 #21 於: 2004-01-30 15:06 »
感謝..我了解了