a wiec, idac dalej za pomyslem ;-):
moje propozycje dla usprawnienia bezpieczenstwa:
redirector squidowy powinien umiec wyklryc ze ip ktorym sie posluguje
klient, nie istnieje w bazie i przekierowac go do stropny ktora go o tym
uswiadomi.
(to juz wlasciwie zrobilem),
dalej,
moznaby zmusic arpinga zeby oprocz pingowania hostow, potrafil
"przepisywac" tablice arp do tabeli (moze byc oddzielna).
chcialbym otrzymac taki efekt redirecta:
zapytanie sql - czy ip ktory sie odwoluje do strony powinnicmy
ostrzegac (tak/nie).
sprawdzenie czy zapytanie cokolwiek zwrocilo (tak/nie) - jezeli tak to
serwujemy mu przekierowanie lub oryginalna strone,; a jezeli nie to
serwujemy mu stronke z informacja ze posluguje sie adresem "powiedzmy
nielegalnym":
chcialbym tez umiescic taka sekwencje sprawdzania:
mamy ip klienta, sprawdzamy czy mac ktory wydobylismy z tablicy arp,
zgadza sie z mac w bazie dla jego noda.
(mozna to zatwic na poziomie firewalla) ale firewall ktory generuja
skrypty lms jezst co najmniej dyskusyjny - malo efektowny.
firewall u mnie zawsze pozwala kazdemu na dostep do squida, uifajac ze
ten zajmie sie zablokowaniem dostepu do stron.
to rozwiazanie i tak ma wade bo kiedy koles podmieni sobie ip i mac to
juz nic nie poradzimy ale tz tym juz naprawde ciezko cos wymyslec.
a przynajmniej ustrzegamy sie przed "lamerskimi" zmianami ipka.
czy to wedlug was ma sens?
