Настройка Сети

[jawD]

Ребят, объясните, или тыкните носом, как настроить так, что бы ко всем ресурсам интренета доступа не было, кроме определенных сайтов и сайта с почтой. Компьютер один, пользователя два, одному давать, другому не давать. 

[fisher74]

Может стоит заняться воспитанием ребёнка, а не искать технические средства ограничения его окружения?

[jawD]

Может стоит заняться воспитанием ребёнка, а не искать технические средства ограничения его окружения?

Ребенок тут не причем, мне по учебе нужно

[hon]

1. В настройках BIOS разрешить загрузку только с жесткого диска, включить Chassis Intrusion, запретить загрузку через PXE и USB.
2. Установить пароль на изменение настроек BIOS.
3. Ограничить физический доступ к компьютеру (хотя бы к системному блоку).
4. Установить пароль на загрузчик.
5. Отключить автовход и установить пароли на все аккаунты, которые имеют право на неограниченный доступ к интернету.
Только после этого есть смысл ограничивать доступ к интернету, иначе можно обойти защиту, например, загрузившись с флешки.

[jawD]

1. В настройках BIOS разрешить загрузку только с жесткого диска, включить Chassis Intrusion, запретить загрузку через PXE и USB.
2. Установить пароль на изменение настроек BIOS.
3. Ограничить физический доступ к компьютеру (хотя бы к системному блоку).
4. Установить пароль на загрузчик.
5. Отключить автовход и установить пароли на все аккаунты, которые имеют право на неограниченный доступ к интернету.
Только после этого есть смысл ограничивать доступ к интернету, иначе можно обойти защиту, например, загрузившись с флешки.

Я ограничил доступ к компьютеру(опломбировал), запретил использовать носители, ограничил права к папке /media. Про Bios, хорошая идея. Но как же настроить, что бы пользователь мог заходить лишь, на сайт фирмы и сайт почты. SQUID использовать?

[hon]

В гугле забанили что ли? Поиск по форуму не работает? Полностью запрещаем одному пользователю исходящий трафик:

Код: [Выделить]

sudo iptables -A OUTPUT -m owner --uid-owner имя_пользователя -j DROPЗатем через iptables разрешаем соединяться с каким-то DNS, например гугловским, и с некоторыми IP.
Предупреждение. Имея доступ к публичному DNS можно получить медленный, но неограниченный доступ в интернет (пруф).
Если это не приемлимо, можно запретить доступ к DNS и возможно, настроить /etc/hosts. Либо поднять свой DNS, который будет давать адреса только определенных сайтов.

[AnrDaemon]

За[чем] давать доступ к внешним ДНС?... Т.е. вообще зачем?

[jawD]

За[чем] давать доступ к внешним ДНС?... Т.е. вообще зачем?

На одном компьютере, два пользователя, администратор и работник, нужно что бы работник не сидел на сторонних сайтах кроме сайта компании и электронной почты, не знаю как сделать, уже запутался. Был бы признателен если бы с кем нибудь по удаленки связаться, сроки поджимают..

[alecsartania]

связаться, сроки поджимают..

Что б тебя уволили ленивая ты бестолочь. Тебе ж написали примерно как.

sudo iptables -F
rosinka@rosinka ~ $ sudo iptables -A OUTPUT -m owner --uid-owner rosinka -d 255.255.255.255/0 -j DROP
rosinka@rosinka ~ $ sudo iptables -I OUTPUT -m owner --uid-owner rosinka -d IP.ADRESS.DNS -j ACCEPT
rosinka@rosinka ~ $ sudo iptables -I OUTPUT -m owner --uid-owner rosinka -d www.yandex.ru -j ACCEPT
rosinka@rosinka ~ $ sudo iptables -I OUTPUT -m owner --uid-owner rosinka -d yastatic.net -j ACCEPT
rosinka@rosinka ~ $ sudo iptables -I OUTPUT -m owner --uid-owner rosinka -d yabs.net -j ACCEPT

[jawD]

связаться, сроки поджимают..

Что б тебя уволили ленивая ты бестолочь. Тебе ж написали примерно как.

sudo iptables -F
rosinka@rosinka ~ $ sudo iptables -A OUTPUT -m owner --uid-owner rosinka -d 255.255.255.255/0 -j DROP
rosinka@rosinka ~ $ sudo iptables -I OUTPUT -m owner --uid-owner rosinka -d IP.ADRESS.DNS -j ACCEPT
rosinka@rosinka ~ $ sudo iptables -I OUTPUT -m owner --uid-owner rosinka -d www.yandex.ru -j ACCEPT
rosinka@rosinka ~ $ sudo iptables -I OUTPUT -m owner --uid-owner rosinka -d yastatic.net -j ACCEPT
rosinka@rosinka ~ $ sudo iptables -I OUTPUT -m owner --uid-owner rosinka -d yabs.net -j ACCEPT

Не пропускает.. rosinka@rosinka ~ $ sudo iptables -A OUTPUT -m owner --uid-owner rosinka -d ТУТ мой АЙП -j DROP
rosinka@rosinka ~ $ sudo iptables -I OUTPUT -m owner --uid-owner rosinka -d mail.ru -j ACCEPT
Пользователь решил продолжить мысль 08 Июня 2014, 21:28:08:Бред какой-то, путь он пускает на https://www.mail.ru/, а когда проходишь авторизацию, адрес становится https://e.mail.ru/ получается уже пускать не будет?

[AnrDaemon]

За[чем] давать доступ к внешним ДНС?... Т.е. вообще зачем?

На одном компьютере, два пользователя, администратор и работник, нужно что бы работник не сидел на сторонних сайтах кроме сайта компании и электронной почты, не знаю как сделать, уже запутался. Был бы признателен если бы с кем нибудь по удаленки связаться, сроки поджимают..

Какое отношение к этому имеют ДНС? Есть локальный ресолвер, сидящий на 127.0.0.1, к нему и обращайтесь.
Пользователь решил продолжить мысль 08 Июня 2014, 21:55:48:

[sudo iptables -F
rosinka@rosinka ~ $ sudo iptables -A OUTPUT -m owner --uid-owner rosinka -d 255.255.255.255/0 -j DROP
rosinka@rosinka ~ $ sudo iptables -I OUTPUT -m owner --uid-owner rosinka -d IP.ADRESS.DNS -j ACCEPT
rosinka@rosinka ~ $ sudo iptables -I OUTPUT -m owner --uid-owner rosinka -d www.yandex.ru -j ACCEPT
rosinka@rosinka ~ $ sudo iptables -I OUTPUT -m owner --uid-owner rosinka -d yastatic.net -j ACCEPT
rosinka@rosinka ~ $ sudo iptables -I OUTPUT -m owner --uid-owner rosinka -d yabs.net -j ACCEPT

Работать не будет. У яндекса дофига хостов под одним именем, в правила запишется только один. Если во время работу попадёшь на другой - ой.

[alecsartania]

AnrDaemon,
Это был пример дружище.

[AnrDaemon]

Даже как пример работать не будет. Потому что в принципе неверно.

[alecsartania]

Даже как пример работать не будет. Потому что в принципе неверно.

Я проверил  а вы ? .

[Dfg]

Можно еще так  -m string --string "yandex"

А вообще у ТС не яндекс, а обычный бесхитростный корпоративный сайт, аксепт по ip и все.