- This topic has 20 hozzászólás, 6 résztvevő, and was last updated 16 years, 8 months telt el by
.
-
Bejegyzés
-
Szevasztok
Kernelt patch -eld meg a Layer7 patch -el.
Samba tűzfal INPUT láncába, beleteszed a következő sort:Code:iptables -A INPUT -m layer7 –l7proto mp3 -j DROPHa esetleg még logolni is akarod, melyik user szórakozik a tiltás ellenére, akkor előtte logolod, mielőtt eldobod.
( Javaslom az ulogd -t, nálam szépen logol mindent ).
De variálhatod is, hogyha 3 -szor próbálkozik annak ellenére, hogy szóltál neki, akkor kitiltod 10 percre ( vagy egy órára ) a Samba -ról.
( Szintén netfilterrel ).
Szerintem előbb-utóbb elmegy a kedvük.Persze egyszerűbb a netfilter string moduljával, csak ha átnevezi a paciens a fájlt mielőtt feltöltené, akkor nem mész vele semmire.
Ha nagyon „advanced user” -ek vannak belül, akkor nem tudod őket string -gel megfogni, de egy próbát megér.Szevasztok
Szevasztok
Kernelt patch -eld meg a Layer7 patch -el.
Samba tűzfal INPUT láncába, beleteszed a következő sort:Code:iptables -A INPUT -m layer7 –l7proto mp3 -j DROPHa esetleg még logolni is akarod, melyik user szórakozik a tiltás ellenére, akkor előtte logolod, mielőtt eldobod.
( Javaslom az ulogd -t, nálam szépen logol mindent ).
De variálhatod is, hogyha 3 -szor próbálkozik annak ellenére, hogy szóltál neki, akkor kitiltod 10 percre ( vagy egy órára ) a Samba -ról.
( Szintén netfilterrel ).
Szerintem előbb-utóbb elmegy a kedvük.Persze egyszerűbb a netfilter string moduljával, csak ha átnevezi a paciens a fájlt mielőtt feltöltené, akkor nem mész vele semmire.
Ha nagyon „advanced user” -ek vannak belül, akkor nem tudod őket string -gel megfogni, de egy próbát megér.Szevasztok
Sziasztok!
Csak, hogy én is tanuljak:) Pár szóval leírná valaki, hogy a veto files opciónál miért jobb akár a clamav-os megoldás, akár az iptables reszelése? Fáradozástokat előre is köszönöm!Sziasztok!
Csak, hogy én is tanuljak:) Pár szóval leírná valaki, hogy a veto files opciónál miért jobb akár a clamav-os megoldás, akár az iptables reszelése? Fáradozástokat előre is köszönöm!uhlaci wrote:Sziasztok!
Csak, hogy én is tanuljak:) Pár szóval leírná valaki, hogy a veto files opciónál miért jobb akár a clamav-os megoldás, akár az iptables reszelése? Fáradozástokat előre is köszönöm!MERT:
vector wrote:Fejből én sem tudom, esetleg nfs vagy vscan pluginnal a samba. Akkor pl a vcsan-clamav tudná figyelni az mp3-at, még ha nem is vírus.ÉS egyszerűbb volt egy ötletet adni, mint helyette, a megoldás után kutatni. Most akkor tanultál? Egyébként nincs mit.
uhlaci wrote:Sziasztok!
Csak, hogy én is tanuljak:) Pár szóval leírná valaki, hogy a veto files opciónál miért jobb akár a clamav-os megoldás, akár az iptables reszelése? Fáradozástokat előre is köszönöm!MERT:
vector wrote:Fejből én sem tudom, esetleg nfs vagy vscan pluginnal a samba. Akkor pl a vcsan-clamav tudná figyelni az mp3-at, még ha nem is vírus.ÉS egyszerűbb volt egy ötletet adni, mint helyette, a megoldás után kutatni. Most akkor tanultál? Egyébként nincs mit.
Szevasztok
uhlaci wrote:Sziasztok!
Pár szóval leírná valaki, hogy a veto files opciónál miért jobb akár a clamav-os megoldás, akár az iptables reszelése?Mert ha az *.mp3 fájlt átnevezi mondjuk *.mp2 -re, vagy *.izé -re, akkor mit ér el vele?
Vagy ha nem ad kiterjesztést a fájlnak, vagy becsomagolja, vagy stb….
A többi javaslatnál, meg nem tudja megkerülni a user a korlátozást.
Vector verzióját még nem próbáltam, viszont az l7-filter használom is.
Egyébként, ha nem akar kernelt „reszelgetni” ( nem egy nagy dolog belefordítani ), akkor használhatja a userspace verzióját az l7-filternek.
Akkor nem kell kernelt fordítani, elég csak egy programot felrakni és netfilter szabállyal kiküldeni a userspace -be a cuccot.
Én is dolgozom egy iskolának, tudom milyen ravaszak a tanulók ( pl: torrentezés, fájlküldés, stb… 😉 ).
De nekem mindegy, csak egy javaslat volt….Szevasztok
Szevasztok
uhlaci wrote:Sziasztok!
Pár szóval leírná valaki, hogy a veto files opciónál miért jobb akár a clamav-os megoldás, akár az iptables reszelése?Mert ha az *.mp3 fájlt átnevezi mondjuk *.mp2 -re, vagy *.izé -re, akkor mit ér el vele?
Vagy ha nem ad kiterjesztést a fájlnak, vagy becsomagolja, vagy stb….
A többi javaslatnál, meg nem tudja megkerülni a user a korlátozást.
Vector verzióját még nem próbáltam, viszont az l7-filter használom is.
Egyébként, ha nem akar kernelt „reszelgetni” ( nem egy nagy dolog belefordítani ), akkor használhatja a userspace verzióját az l7-filternek.
Akkor nem kell kernelt fordítani, elég csak egy programot felrakni és netfilter szabállyal kiküldeni a userspace -be a cuccot.
Én is dolgozom egy iskolának, tudom milyen ravaszak a tanulók ( pl: torrentezés, fájlküldés, stb… 😉 ).
De nekem mindegy, csak egy javaslat volt….Szevasztok
- Be kell jelentkezni a hozzászóláshoz.
legutóbbi hsz