Re: Вопрос о странном Вообще-то, спросили, как побороть следствие. Я предложил обратить внимание на причину.
Re: Вопрос о странном на баше было. Разрешили социалку только в нерабочее время. До 9 утра и после 18 вечера. Сразу перестали опаздывать и уходить пораньше.
Re: Вопрос о странном В древние времени брат попросил для одной сотрудницы сделать нечто подобное, социалок не было еще, вебчаты были где она зависала с полным отключением от реальности. Чат стал работал до 9 утра, в обед с часу до двух и после 18 вечера. Это надо было видеть!
Re: Вопрос о странном Народ, а какими способами вы контролируете (если вообще) торренты с работы? (оговорка - я ни сетевой администратор и не в курсе последних версий прокси и юниксовых фаейрволов, отсюда и вопрос). Знакомый один попросил помочь с конфигом для закрытия bittorrent на cisco (как один из составляющих параметров системы контроля) - так я славно поипался часа два, пока смог пережать ему горло. Оказалось совсем нетривиальной задачей. И то иногда что-то прорывается с каких-то совершенно непонятно откуда возникающих пиров (но на совсем малой скорости и ненадолго).
Re: Вопрос о странном Торрент гасить имеет смысл только угрозой анальной казни лишения премии и введением лимита на потребляемый трафик. Технически это не сложно. Для обычного офисного планктона для просмотра новостей хватает гигабита в месяц. Для просмотра мувиков не хватает.Превышение лимита автоматом отрубает на прокси все кроме мыла. Чтобы фильтровать по настоящему торренты нужно оборудование с функцией DPI (Deep Packet Inspection).Это по карману крупным операторам. Сниферить сеть и строить списки для бана сетей считается геморным и не професиональным. Проще применить лимиты.
Re: Вопрос о странном Это не наш метод Это все понятно и очевидно. Знакомый, собственно, пришел именно с вопросом "можно ли конфигом киски, без банов и прочего гемора". Собственно, все методы контроля, которые описаны в официальных кискодоках - никуя не работают (почему я не удивлен). Но DPI в ZBF сделал таки свое дело (во всяком случае у меня дома и на текущей версии протокола). А с понедельника потестируем на живом планктоне
Re: Вопрос о странном Три рубля-а-а-а Конечно можно, сейчас как раз дописываю HowTo, и сброшу ссылку.
Re: Вопрос о странном На выход стоит машина с KerioFireWall какой-то древней версии. Там по умолчанию всё закрыто и я себе (персонально себе ) порты для торрентов открывал специально. У остальных торренты просто не цепляются. Про киски - не в курсе.
Re: Вопрос о странном Пасиб. Как вариант принимается. Вопрос-то стоит так, что с изменением самого протокола придется что-то в моем конфиге на киске поправить, почти наверняка. Так что для конторы должен быть комплексный солюшн, типа киска-FW-прокси-че-то-там-еще. Речь о SMB-конторах, которые всяко не будут у себя ставить сложную систему IPS/IDS. @Siddha - конфиг отправил в приват.
Re: Вопрос о странном Бэдбой, и со мной поделись? UPD: Уже увидел, спасибо я у себя сделал - сперва закрыл все как на вход так и на выход (правда у меня джуниперы стоят), а потом уже пооткрывал что надо для работы... при подобном варианте тореннтов пока не заметил..(ну кроме как на своекй машинке
Re: Вопрос о странном Оговорюсь - я ниразу не секьюрити специалист, потому могу ляпнуть что-то непотребное Жуниперы, во всяком случае какие я недавно видел из младших серий, вроде как DPI не умеют (хотя может дело в лицензиях). Простым закрытием портом придушить битторент имхо полностью не получается, потому что он использует 80-й порт для сетапа, сцуко, и умеет использовать шифрацию. А дальше пиринговый обмен струячит и по TCP и по UDP. И совсем не каждый пакет содержит сигнатуру битторента. Закрытие стандартного порта сетапа просто приведет к тому, что виндовс юзер тыкнет в uTorrent галочку Randomize port each start. Вобщем остается для киски только DPI, при этом если сетап протокола поменяют - надо будет добавлять селекцию в секцию "policy-map type inspect http action-http-bittorrent". Собстно, я к чему это все. Я без понятия как это можно сделать на джунипере, чекпойнте или фортинете, но смысл в том, что тот конфиг, который у меня заработал в итоге - борется с первопричиной, так сказать, с сетапом и получением апдейтов на уровне запросов протокола. Поэтому он не сработает на те торренты, которые уже вовсю тянутся. А вот на ново-запущенные ... Для FW без DPI - ну тут все ясно, йебатория с селекцией "правильных юзеров" Вобщем киска и прокси ... ну или "покупайте-наши-замечательные-IPS-IDS"