Skocz do zawartości
branetre

Sposób na blokadę FB NK i inne

Oceń temat:

Rekomendowane odpowiedzi

branetre

Portale społecznościowe i ich użytkownicy to dziś standard ...

Prawie każdy ma konto na FB czy NK i prawie każdemu się zdarza w pracy z owych portali korzystać. Problem się pojawia gdy administrator oderwie się od pasjansa i na zlecenie szefa wprowadzi blokady tych stron.

 

Blokady można zakładać na porty czy też hasła wpisywane. Najskuteczniejsze są jednak blokady adresów IP serwisów zgłoszonych do zbanowania.

Przeciętny Kowalski sobie z tym nie poradzi i fotki Kasi nie zdoła opublikować ...

 

Jest dość prosty i skuteczny sposób na omijanie tego typu blokad. Właściwie działa on tak jakby nas w pracy wcale nie było ponieważ cały ruch sieciowy będzie kierowany do innego urządzenia a tamto rejestrowane w serwisach www.

 

Dobry sposób by administrator nie wykrył naszych ruchów w sieci :p

 

Potrzebny nam program PUTTY i jakiś serwer SSH odpalony w sieci (najlepiej ze stałym publicznym IP) Zmienne IP też jest do zrealizowania aczkolwiek przy użyciu DDNS.

Pamiętajcie o przekierowaniu portów jeżeli wasz serwer jest za NAT-em innego urządzenia.

 

Program PUTTY można pobrać w wersji PORTABLE więc osoby nie posiadające możliwości instalacji oprogramowania na swoich stanowiskach wiedzą co trzeba zrobić ;)

 

Do roboty !

 

Żeby można było tunelować HTTP przez SSH potrzebny nam otwarty port 22. Raczej żaden admin tego portu nie zamyka ... Nawet jeśli to mamy jeszcze 443 dla HTTPS lub porty poczty.

 

  1. Odpalamy PUTTY i wybieramy Nowa sesja
  2. W nazwie hosta podajemy adres IP serwera z odpalonym SSH
  3. Port 22 zostawiamy domyślnie

Teraz klikamy na zakładkę Connection a w niej kolejno SSH i Tunnels.

  1. W polu Source port dajemy 8080
  2. Zaznaczamy Remote lub Dynamic w zależności od tego czy IP mamy statyczne czy dynamiczne (DDNS)
  3. Klikamy Add

Wracamy do zakładki Session i nazywamy sobie dowolnie nasz tunel SSH.

 

Sprawa PUTTY załatwiona. Teraz po kliknięciu open i podaniu loginu i hasła zestawimy tunel SSH.

 

Uwaga ! Ważne jest to by tunel był otwarty wtedy gdy korzystamy z internetu.

 

 

 

Konfiguracja przeglądarki FIREFOX

 

  • Na pasku wpisujemy :
about:config
  • W polu filtr wpisujemy :
network.proxy.socks_remote_dns
  • Klikamy na niego dwa razy (ma być true)

Teraz klikamy na :

  • Opcje >> Zaawansowane >> Sieci >> Ustawienia
  • Wybieramy "Ręczna konfiguracja serwera PROXY i w pole host SOCKS wpisujemy 127.0.0.1 Port 8080

To tyle :)

 

Przeglądarka tak ustawiona nie będzie działać bez odpalonego serwera SSH warto wię sobie zostawić inną przeglądarkę np CHROME lub IE do pracy a na FF robić w konia admina.

 

Pamiętajcie

że każdy jest kowalem swojego losu i jakby komuś stanowisko poleciało przez to co tu opisane to ekipa portalu OpenITforum.pl nie ponosi z tego tytułu odpowiedzialności.

 

[info=Gdyby jednak ]wasze poczynania zostały odebrane jako dodatkowa umiejętność ze skutkiem awansowania do działu zabezpieczeń nie omieszkajcie nas o tym poinformować ;)[/info]

 

Pozdrawiam lud3ik


Ten post został wypromowany na artykuł

Edytowane przez house
  • Lubię to 2

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
glorifyday

Fajny wpis :good:.

 

U siebie w robocie mam jednak troche inny problem, ktory wyszedl mi w praniu, kiedy kupilem NASa Synology.

Otoz chcialbym miec do niego dostep z pracy, ale w mojej firmowej sieci otwartych jest chyba z 5 portow TCP i jeden UDP na krzyz, a Synology przyjelo troche malo kompatybilna z tym podejsciem strategie wystawiania roznych uslug na roznych portach, w zwiazku z czym nie dosc, ze robie dosc egzotyczne przekierowania portow, to numerki szybko sie wyczerpuja.

 

Czy na to znalazloby sie jakies obejscie?

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
branetre

Zestaw sobie tunel VPN (możliwość na dowolnym porcie) Na Serwerze Synology masz openVPN Komputer w pracy musi mieć klienta VPN Tak zestawione połączenie jest rozwiązaniem na twoje problemy z wolnymi portami Wystarczy dosłownie jeden na którym postawisz tunel. Ba do tego masz połączenie szyfrowane ! Nikt nie podsłucha :)

 

EDIT: Tunel VPN działa tak :

 

Komputer w pracy (klient) połączony z serwerem VPN (synology) jest tak jakby połączony wirtualnym kablem (tak jak w sieci lokalnej)

 

Nie posiadasz wymaganych uprawnień, aby wyświetlać zawartość linków.

  • Lubię to 2

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
glorifyday

Tak... te metode znam, pytam, czy moze istnieja jeszcze jakies alternatywy...

 

Na NASie juz mialem przez pewien czas postawiony OpenVPN, ale dostarczany przez Synology serwer nie posiada mozliwosci konfiguracji portu i kombinowalem jak kon pod gorke, ostatecznie przekierowujac na ruterze UDP 500 na 1194 (bo z UDP chyba tylko 500 mamy w pracy otwarty) - nie wiem, czy to nie wiazalo sie z jakimis efektami ubocznymi...

 

W dodatku NASa nie bede mial chyba non stop wlaczonego - raczej bede go uzywal albo ze schedulerem albo z WOL.

 

W LANie mam w tej chwili jeszcze RT-N16 i tak wlasciwie to chyba na nim postawie OpenVPNa.

 

 

 

Komputer w pracy (klient) połączony z serwerem VPN (synology) jest tak jakby połączony wirtualnym kablem (tak jak w sieci lokalnej)

Tak to faktycznie dzialalo, ale przy okazji interesuje mnie jedna rzecz... laczac sie klientem VPN dostawalem IP z innej (chyba 192.168.255.x) podsieci, niz domowa (192.168.1.x), a widzialem wszystkie urzadzenia w sieci - dlaczego to tak dziala?

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
branetre

Serwer wychodzi za pewne na świat przez inne urządzenie (czyli jest za natem) To znaczy że twoje żródłowe IP jest zastępowane adresem interfejsu bramy (urządzenia przez które się łączysz)

 

 

Nic innego mi do głowy nie przychodzi :/

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
tamtosiamto

echh.. tytul mnie podjarał, ale tresc posta juz mnie zdołowała:/ liczyłem na porade, jak zablokowac w przegladarce wszytsko co wiąze sie z FB NK i innym , wg mojego mniemania, g**em...

  • Lubię to 1

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
branetre

@tamtosiamto  Pod FF masz wtyczkę blocksite Pewnie pod chrome też coś znajdziesz 
Jak to nie spełnia oczekiwań to jeszcze plik "hosts" w windowsie Tam można robić przekierowania
Można też na routerze dany adres ip kierować pod plik index.html na www postawionym pod tomato (chyba teraz www @shibby wstawił) po wpisaniu danego adresu xxx.xx Najprościej jednak jest poprosić usera by nie odwiedzał strony bo mu wirus zje komputer 99% łyka :D

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
glorifyday

Osobiscie czesto uzywalem metody z plikiem hosts ;-).

  • Lubię to 2

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
glorifyday

interesuje mnie jedna rzecz... laczac sie klientem VPN dostawalem IP z innej (chyba 192.168.255.x) podsieci, niz domowa (192.168.1.x), a widzialem wszystkie urzadzenia w sieci - dlaczego to tak dziala?

 

Tak bylo, przypominam, kiedy uzywalem serwera OpenVPN na NASie Synology.

 

Ostatnio uruchomilem serwer na RT-N16 z Tomato i teraz tak dobrze nie jest. Z calej domowej sieci 192.168.1.* moge pingnac tylko RT-N16 wlasnie. Do innych urzadzen w domowej sieci nie mam dostepu.

 

W opcjach w Tomato -> OpenVPN Server Configuration -> Advanced -> Push LAN to clients mam ptaszka, myslalem, ze to o to chodzi, ale chyba jednak nie.

 

Macie moze pomysly, co trzeba ustawic, zeby widziec cala siec 192.168.1.*?

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
house
Macie moze pomysly, co trzeba ustawic, zeby widziec cala siec 192.168.1.*?

zrób sobie "checklist"ę z tego tutoriala :

Nie posiadasz wymaganych uprawnień, aby wyświetlać zawartość linków.

i zobacz co pominąłeś. u mnie działa bez problemu, co prawda na merlinie ale praktycznie tak samo się konfiguruje.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
glorifyday

Uzywalem dokladnie tego tutoriala, sprawdze, moze faktycznie gdzies sie pomylilem...

 

Jak rozumiem, po wbiciu sie klientem VPN do domowej sieci widzisz ja w calosci?

 

Ciekawe czy przypadkiem problem u mnie nie polega na tym, ze RT-N16 jest ruterem dodatkowym, polaczonym do bramy po LANie :question:.

 

EDIT:

Z ostatniej chwili... znow zdalnie zceglilem RT-N16, mam nadzieje, ze go podniose tak latwo jak ostatnio ;-).

  • Lubię to 1

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
tamtosiamto

@house a na merlinie pokazuje ci nazwy komputerow podpietych pod ruter? Mi na 10 urzadzen pokazuje nazwy tylko 2 czy trzech, nie wiem czemu.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
house

house a na merlinie pokazuje ci nazwy komputerow

tak

 

Mi na 10 urzadzen pokazuje nazwy tylko 2 czy trzech, nie wiem czemu.

za widoczność w lanie odpowiada WINS... w IProutera\Advanced_AiDisk_others.asp ustaw Set as WINS server oraz Force as Master Browser potem wpisz grupę w

Nie posiadasz wymaganych uprawnień, aby wyświetlać zawartość linków.

za rozwiązywanie nazw dns, jaki Ci nie aktualizuje rekordów w dns to wpisz nawy IP\Advanced_DHCP_Content.asp i po sprawie. mam ustawione obydwie rzeczy więc nie wiem co tak naprawdę rozwiąże Twój problem.

  • Lubię to 1

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
glorifyday

House, a jak to sie tlumaczy na ustawienia w Tomato?

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
house

House, a jak to sie tlumaczy na ustawienia w Tomato?

w USB and NAS - File Sharing - Workgroup Name wpisać nazwę grupy, w "Option" zaznaczyć Master Browser oraz WINS Server.

  • Lubię to 1

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
glorifyday

Chyba tak mam ustawione, dzieki. Sprawdze jeszcze wieczorem.

 

EDIT:

Poniewaz udalo sie wbic VPNem, sprawdzilem juz teraz. Mam tak ustawione :-)

Edytowane przez glorifyday
  • Lubię to 1

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
tamtosiamto

tak

 

za widoczność w lanie odpowiada WINS... w IProutera\Advanced_AiDisk_others.asp ustaw Set as WINS server oraz Force as Master Browser potem wpisz grupę w

Nie posiadasz wymaganych uprawnień, aby wyświetlać zawartość linków.

za rozwiązywanie nazw dns, jaki Ci nie aktualizuje rekordów w dns to wpisz nawy IP\Advanced_DHCP_Content.asp i po sprawie. mam ustawione obydwie rzeczy więc nie wiem co tak naprawdę rozwiąże Twój problem.

Nie działa. Ciagle widze na liscei podlaczonych klientow tylko MAC-i . Jak przybede do kraju wgram nowego merlina i poprobuje.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się

  • Przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

  • Podobna zawartość

    • branetre
      Przez branetre
      Nawiązując do tematu postanowiłem w bardzo prosty sposób pokazać jak dokonać powrotu do niższej wersji DSM niż ta którą aktualnie posiadamy. Z DSM jest jak Z APPLE Da się ale tylko w jedną stronę ... Oprogramowanie nie pozwala na downgrade do niższej wersji. Producent podpiera się możliwością uszkodzenia sprzętu.   Jako wieloletni serwisant GSM jestem świadom tego iż takie uwalenie sprzętu przez downgrade jest rzadko spotykane a sam fakt informowania nas przez producenta o ryzyku jest raczej skierowany w strach przed używaniem dziurawego oprogramowania a niżeli uwalenie. Nowe softy wychodzą nie tylko z powodu udogodnień ale jak wiadomo w celu poprawy bezpieczeństwa i stabilności oprogramowania.    Pobieramy oprogramowanie do naszego servera (ważne żeby nie było niższe od wersji którą będziemy wpisywać do pliku VERSION) Pobieramy program putty Upewniamy się że w panelu sterowania umożliwiamy komunikacje z serwerem via SSH Restart serwera Po restarcie podłączamy się do serwera przy pomocy PUTTY (konieczne podanie adresu IP serwera (dane logowania to login : root hasło : nasze_tajne_hasło) Wpisujemy w terminalu vi /etc.defaults/VERSION i klikamy ENTER Przechodzimy do trybu edycji wciskając klawisz "i" Plik po podmianie wygląda tak: majorversion="4" minorversion="2" buildphase="0" buildnumber="3202" builddate="2013/03/01" Podmiana do trudnych nie należy ...
        Teraz po zmianie zawartości pliku VERSION wciskamy klawisz Esc w celu zakończenia trybu edycji a następnie wciskamy Shift + : (shift + dwukropek) w celu wejścia w tryb poleceń. Gwoli ścisłości wciskamy "w" a następnie "q" i potwierdzamy ENTER (w - write q- quite) Czyli zapisać i wyjść.   WAŻNE ! Nie restartować serwera po tej operacji.   8. Można się teraz zalogować do serwera i  w panelu sterowania sprawdzić czy wersja naszego DSM zminiła się na taką jaką wpisaliśmy do pliku VERSION 9. Jeżeli efekt został osiągnięty można przez : -Panel sterowania  -Aktualizacja oprogramowania DSM     Wskazać plik *.pat wyższy od tej która została w pliku VERSION zmieniona ale jednocześnie niższy niż obecnie posiadany.   10. THE END Dane nie poleciały Dodam że testowałem tutka na DS112 (Beta 4.3 >>>>> 4.2) Pozdrawiam   
    • Eleonor
      Przez Eleonor
      Czy idzie w Synology zablokować  konkretne urządzenie w firewallu by np nie pobrało aktualizacji ?
       
      Mam tak w tomato w zakładce Scripts Firewall i działa świetnie 
       
      iptables -I FORWARD 1 -s 192.168.1.23 -d TU_ADRES_IP -j DROP
    • branetre
      Przez branetre
      Postawiony przed kolejnym zadaniem w firmie musiałem znaleźć sposób na automatyczne odmontowywanie katalogu secure przy wyłączaniu komputera. Jednocześnie pojawiła się nowa możliwość montowania takiego katalogu przy starcie systemu.
      Na początku należy pobrać dwa programy. Putty do połączenia SSH i Puttygen do wygenerowania klucza ppk. Przy pomocy programu putty logujemy się na serwer synology i tworzymy w katalogu root podkatalog .ssh.
      cd /root > mkdir .ssh Następnie należy w tym katalogu utworzyć plik authorized_keys w którym zostanie zapisana zawartość klucza id_rsa.pub. > touch .ssh/authorized_keys Teraz możemy przystąpić do tworzenia klucza na serwerze synology.
      > ssh-keygen -t rsa Zostaniemy zapytani o położenie w którym mają zostać zapisane klucze autoryzacyjne. ( domyślna ścieżka to /root/.ssh/id_rsa ).
      Konsola zapyta nas dwa razy o hasło jakim zabezpieczamy klucz ( hasła muszą się zgadzać ).
      Po wpisaniu dwukrotnie hasła zostaną wygenerowane klucze ( zostaniemy o tym poinformowani ).
      Teraz należy skopiować jeden z nich do katalogu dostępnego w synology ( np. /volume1/files ). > cp /root/.ssh/id_rsa /volume1/files/ Drugi natomiast posiada zawartość która przy pomocy polecenia CAT zostanie wysłana do pliku authorized_keys.
      > cat .ssh/id_rsa.pub >> .ssh/authorized_keys Plik z katalogu files musimy skopiować na pulpit.
      Uruchamiamy program puttygen i klikamy Conversions a następnie importujemy klucz. Teraz klikamy save w celu zapisania klucza na pulpicie. Może być pod nazwą secure.ppk.
      Została nam konfiguracja programu putty. Puttygen już nam jest niepotrzebny więc można skasować.
      Odpalamy program putty i w zakładcę Connection / Data podajemy login ( domyślnie root )
      Teraz w zakładcę Connection / SSH / Auth wybieramy nasz klucz secure.ppk
      Ostatnim będzie dodanie polecenia które nam odmontuje katalog secure w tym celu dodajemy do Connection / SSH / Remote command polecenie. synoshare --enc_unmount secure Przechodzimy na zakładkę Session i wpisujemy adres IP i port na którym mamy dostęp do serwera i nazywamy sesję np. unmount.
      Potwierdzamy zapisanie sesji przyciskiem save.
      Teraz w celu uproszczenia obsługi klikamy prawym klawiszem myszy na ikonę putty i tworzymy skrót. Następnie prawym klawiszem myszy na skrót i właściwości a tam za ścieżką docelową do programu putty dopisujemy taki parametr -load "unmount" Wygląda to tak
      C:\ssh.exe -load "unmount" Dzięki temu zostanie automatycznie wywołana sesja unmount w programie putty.
      W systemie Windows XP kilkamy kombinację klawiszy Windows + R i w pasku poleceń wpisujemy gpedit.msc Klikamy na "Konfiguracja Komputera" / "Ustawienia systemu Windows" / Skrypty ( uruchamianie / zamykanie ) / Zamykanie.
      Klikamy "Dodaj" i wskazujemy utworzony skrót putty z zapisaną sesją unmount.
      Od tego momentu przy zamykaniu systemu Windows zostanie wyświetlony monit w celu wykonania polecenia przez ssh.
      Montowanie
      Problematyczne może się okazać zabezpieczenie passphrase które na początku dopisaliśmy ( konieczność wprowadzania hasła ).
      Jest na to sposób z użyciem kolejnego programu Pageant.
      Program ten po jednorazowym wpisaniu passphrase trzyma w pamięci rozszyfrowany klucz prywatny z którego mogą korzystać inne aplikacje. Najwygodniej jest utworzyć sobie skrót do tego programu i w jego właściwościach podać jako parametr ścieżkę do pliku z naszym prywatnym kluczem ( d:\secure.ppk ).
      Wygląda to tak
      C:\pageant.exe d:\secure.ppk Po uruchomieniu programu Pageant z takiego skrótu zostaniemy od razu poproszeni o podanie passphrase do naszego klucza po wpisaniu którego program schowa się grzecznie w trayu i aż do wyłączenia systemu będziemy mogli odpuścić sobie wpisywanie jakichkolwiek haseł. Skrót dodajemy do autostartu.
      Klikamy na "Konfiguracja Komputera" / "Ustawienia systemu Windows" / Skrypty ( uruchamianie / zamykanie ) / Uruchamianie. Klikamy "Dodaj" i wskazujemy utworzony skrót pageant z zapisanym kluczem.
      W moim wypadku klucz znajduje się na pamięci flash która jako jedyna jest podpięta do komputera ( zapobiega to zmianie liter dysków choć i na to jest sposób w Windows ).
      Można to wykorzystać do prostego logowania bez ciągłego wpisywania loginu i hasła. Docenią to ludzie którzy często się logują przez putty.
      W celu montowania takiego katalogu postępujemy podobnie. Pomocny będzie tem sam klucz tylko sesja wykona inne polecenie. enc_mount secure HD5!nkOPG80T2cFFx*!KlopEdtgBURESK9834 Taką sesję zapisujemy pod nazwą mount i dodajemy do Klikamy na "Konfiguracja Komputera" / "Ustawienia systemu Windows" / Skrypty ( uruchamianie / zamykanie ) / Uruchamianie. Ważne aby ścieżka do skryptu mieściła się na dysku komputera (jest możliwość ukrycia tego pliku przed nieautoryzowanym dostępem chodź i tak bez pliku klucza z pendriva putty nie połączy się przez ssh).

openitforum.pl

Forum poświęcone przesyłaniu i przechowywaniu danych w małej sieci. Prezentujemy testy urządzeń oraz pomagamy w ich obsłudze i konfiguracji.
×

Powiadomienie o plikach cookie

Kontynuując przeglądanie strony, wyrażasz zgodę na używanie przez nas plików cookies. Wszystkie wymagane w tej kwestii informacje zawierają: Polityka prywatności, Regulamin oraz Warunki użytkowania.