Filtrovaní provozu + timer v scheduleru

grad

Dobrý den,

jelikož nejsem až tak moc zběhlý v MK chtěl bych se optat zkušenějších a poprosit o radu.

O co jde.... potřebuji na firemním MK nastavit filtrování https a standartních www stránek s několika vyjímkami pouze pro cca 5 PC . Pořebuji aby fugoval eshop,ppl,geis apod.

Provoz na https a www bych potřeboval pustit pouze v době přestávek cca v 12.30 až 13.00 protože momentálně je vše zakázáno pomoci firewallu který je součástí antiviru na každém pc které je na daném rozsahu. Nicméně jak už to u nás bývá zaměstnanci nechápou že jsou v zaměstnání kde se v pracovní době pracuje a né serfuje po netu. Tak můj boss by chtěl aspoň povolit provoz o přestávce ať je aspoň trochu klid. Je to možné pomoci adress listu + pravidla ve firewallu a timing v scheduleru ? Zvládne to Mk ?

Děkuji za odpovědi budu vděčen za každou vnuknutou myšlenku či popostrčení správným směrem.

P.S Proxy a filtraci DNS se i rozjíždět neche příjde mi to jako zbytečné plítvání prostředky.

ludvik

Před ten zákaz si dej povolení společně s časem platnosti.

tron

Jak píše ludvik. Já scheduler používám na změnu silné/slabé pásmo pomocí skriptů, kdy návštěvníkům hotspotu definuju rychlost up/down během pracovní doby pomalejší a během víkendu a mimo pracovní dobu rychlejší. Funguje to skvěle. :)

grad

Možná se zeptám blbě ale:

Nešlo by to udělat tak že ve firewallu vytvořím pravidlo které bude dropovat veškerý provoz pro IP adresy počítačů třeba 10.0.0.1 - 10.0.0.5, a to kromě napsaného adress listu stránek které potřebuji? (ppl, geis, eshop atd.) plus v tom pravidle zapnout timer který ho vypne ?

ludvik

Říkej si radši, že pravidlu řekneš, kdy má platit ...

ludvik

Ale asi to nějak překomplikováváš ... Ve firmě je základní pravidlo: povolím co potřebuji a zbytek zakazuji. Jde i o čitelnost takového firewallu a zamezení tvorby chyb.

Takže bych to udělal takto:

1. povolit provoz počítačům, které mohou vše

2. u ostatních udělat odskok do extra chainu

3. DROP

v extra chainu lze:

4. accept v čase oběda

5. povolení zmíněných cílových adres.

6. případná další povolení ...

a po projetí chainu aniž by nějaké pravidlo zabralo se to vrací na bod 3.

Pro 1+2+5 budeš mít address-listy. Základní plus je v tom, že pokud na nějaký počítač zapomeneš, nebude dělat neplechu ...

A logicky problém s nemožností definovat povolené weby typu youtube, u kterých nemáš s paketovým filtrem v podstatě šanci.