[Novell / adsl] Proxy is te omzeilen, hoe te stoppen? - Serversoftware en clouddiensten

dinsdag 16 september 2003 21:44

Acties:

Topicstarter

Op mijn werk hebben we de volgende situatie:

Afbeeldingslocatie: http://www.home.zonnet.nl/ye_greate96/netwerk.jpg

Wanneer bij de lan settings in internet explorer het adres van de proxy ingevuld wordt en de pc is niet ingelogd in Novell, krijg je netjes een foutmelding en kun je niet op internet.

Wanneer er geen proxy adres is ingevuld en de pc is niet ingelogd in Novell, werkt internet WEL....

Hoe kan dit?

- ip range van de rest van 't netwerk is 172.16.0.0
- Novell Bordermanager 3.6

Ik kon hier niets over vinden op de novell site of de search van GoT... Weet ook niet echt welke zoektermen ik moet gebruiken voor dit probleem.

dinsdag 16 september 2003 21:46

Acties:

Zwelgje

geen gateway meegeven aan de clients, en puur en alleen de proxy laten gebruiken, dan MOET je langs de proxy

A wise man's life is based around fuck you

dinsdag 16 september 2003 21:55

Acties:

Ye Greate'96

Topicstarter

zwelgje schreef op 16 September 2003 @ 21:46:
geen gateway meegeven aan de clients, en puur en alleen de proxy laten gebruiken, dan MOET je langs de proxy

Het probleem is eigenlijk dit:

Ik werk op een school en door policies kunnen de leerlingen de internet instellingen niet aanpassen.
Maar op heb moment dat ze messenger hebben gedownload of meegenomen van thuis (Messenger mag bij ons niet) gebruikt dit programma eerst de proxy instellingen, ziet dat het niet werkt en gaat dan zelf op zoek naar een andere route, dus loopt het weer langs de proxy vrolijk naar internet.

Op de proxy zijn de poorten en ipranges die messenger gebruikt geblokkeerd, maar als het dus langs de proxy loopt, heeft dit weinig zin.

dinsdag 16 september 2003 21:58

Acties:

Zwelgje

Ye Greate'96 schreef op 16 September 2003 @ 21:55:
[...]

Het probleem is eigenlijk dit:

Ik werk op een school en door policies kunnen de leerlingen de internet instellingen niet aanpassen.
Maar op heb moment dat ze messenger hebben gedownload of meegenomen van thuis (Messenger mag bij ons niet) gebruikt dit programma eerst de proxy instellingen, ziet dat het niet werkt en gaat dan zelf op zoek naar een andere route, dus loopt het weer langs de proxy vrolijk naar internet.

Op de proxy zijn de poorten en ipranges die messenger gebruikt geblokkeerd, maar als het dus langs de proxy loopt, heeft dit weinig zin.

hoe kan je dan langs de proxy gaan, als de clients geen gateway meekrijgen? (krijgen ze dat wel?) clients horen simpelweg geen gateway mee te krijgen overigens das vragen om problemen, zo kan iedereen langs de proxy

zo doe ik het ook namelijk, geen gateway, jammer dan dan kan je niet op internet behalve via de proxy (die dicht zit

)

A wise man's life is based around fuck you

dinsdag 16 september 2003 22:02

Acties:

Arfman

Drome!

Zwelgje heeft gelijk. Je werkstations krijgen een gateway IP adres mee (snel te kijken welke het is door als een student in te loggen op zo'n PC en een ipconfig /all te doen). Blijkbaar kunnen ze zonder authenticatie langs die gateway. Als die gateway het IP adres is van je BorderManager, moet je in je BM setup gaan kijken. Als die gateway een ander IP adres is, is dat dus het 'lek' naar buiten. Ik verwacht echter dat het het BM IP adres is

.

woensdag 17 september 2003 14:20

Acties:

Ye Greate'96

Topicstarter

Arfman schreef op 16 september 2003 @ 22:02:
Zwelgje heeft gelijk. Je werkstations krijgen een gateway IP adres mee (snel te kijken welke het is door als een student in te loggen op zo'n PC en een ipconfig /all te doen). Blijkbaar kunnen ze zonder authenticatie langs die gateway. Als die gateway het IP adres is van je BorderManager, moet je in je BM setup gaan kijken. Als die gateway een ander IP adres is, is dat dus het 'lek' naar buiten. Ik verwacht echter dat het het BM IP adres is .

Klopt, de BM is de default gateway op de clients.

Maar ik zit nu al een kwartier de BM-setup te bekijken in Nwadmin, maar ik zou niet weten welke setting er verkeerd staat waardoor het omzeilen van de BM mogelijk is. Weet iemand, waar 'em dit in kan zitten?

woensdag 17 september 2003 14:38

Acties:

CyBeR

💩

Ye Greate'96 schreef op 17 September 2003 @ 14:20:
[...]

Klopt, de BM is de default gateway op de clients.

Maar ik zit nu al een kwartier de BM-setup te bekijken in Nwadmin, maar ik zou niet weten welke setting er verkeerd staat waardoor het omzeilen van de BM mogelijk is. Weet iemand, waar 'em dit in kan zitten?

Je hebt waarschijnlijk gewoon IP forwarding aanstaan. Zet dat uit en je bent er, lijkt mij.

All my posts are provided as-is. They come with NO WARRANTY at all.

woensdag 17 september 2003 14:43

Acties:

Koffie

Koffiebierbrouwer

Braaimeneer

Gewoon NAT uitzetten

Zolang jij NAT aanbied, valt er wel omheen te zeilen, echter als jij die BM doos zo configged dat je PRIVATE gedeelte alleen maar via proxy kan, komt geen enkel ander proggel er doorheen (en ff goede BM filters aanmaken).

Tijd voor een nieuwe sig..

woensdag 17 september 2003 14:44

Acties:

RePlayer

Jah ip forwarding moet uit, dat is juist niet nodig wanneer je een proxy draait..

Je kunt ook natuurlijk dns aanvragen voor *.messenger.hotmail.com (ofzo) weigeren indien je een dns server draait natuurlijk

---

woensdag 17 september 2003 16:42

Acties:

Ye Greate'96

Topicstarter

Koffie schreef op 17 September 2003 @ 14:43:
Gewoon NAT uitzetten
Zolang jij NAT aanbied, valt er wel omheen te zeilen, echter als jij die BM doos zo configged dat je PRIVATE gedeelte alleen maar via proxy kan, komt geen enkel ander proggel er doorheen (en ff goede BM filters aanmaken).

ff voor de goede orde, NAT zet je uit in inetcfg als 't goed heb?

woensdag 17 september 2003 16:48

Acties:

valkhyr

Of zet packetfiltering aan op de BM doos. Laat alleen de proxy door naar buiten en block de rest van de machines.

woensdag 17 september 2003 17:43

Acties:

Koffie

Koffiebierbrouwer

Braaimeneer

Ye Greate'96 schreef op 17 September 2003 @ 16:42:
[...]
ff voor de goede orde, NAT zet je uit in inetcfg als 't goed heb?

Je moet NAT ff op de NIC uitzetten :

inetcfg -> bindings -> public NIC -> expert zooi -> nog een volgende scherm -> NAT = Disbaled ipv Dynamic only (gok ik zomaar dat jij hebt staan

)

valkhyr schreef op 17 September 2003 @ 16:48:
Of zet packetfiltering aan op de BM doos. Laat alleen de proxy door naar buiten en block de rest van de machines.

Dat zei ik dus al

Tijd voor een nieuwe sig..

donderdag 18 september 2003 09:13

Acties:

Border|IA

Ye Greate'96 schreef op 16 September 2003 @ 21:55:
[...]

Het probleem is eigenlijk dit:

Ik werk op een school en door policies kunnen de leerlingen de internet instellingen niet aanpassen.
Maar op heb moment dat ze messenger hebben gedownload of meegenomen van thuis (Messenger mag bij ons niet) gebruikt dit programma eerst de proxy instellingen, ziet dat het niet werkt en gaat dan zelf op zoek naar een andere route, dus loopt het weer langs de proxy vrolijk naar internet.

Op de proxy zijn de poorten en ipranges die messenger gebruikt geblokkeerd, maar als het dus langs de proxy loopt, heeft dit weinig zin.

wat je wil is dit dus bereiken:
studenten moeten ongeacht of ze iets aan willen passen via de proxy surfen.
wat dan moet doen is niet zo ingewikkeld.
je moet de bordermanager goed configureren en alleen de proxy toegang geven tot internet. dat kan niemand langs de proxy.
wil je zelf wel langs de proxy dan maak je een filtering rule om bepaalde personen wel toegang te geven.

wil meer weten kun je me altijd mailen hoe je dat precies wilt bereiken..

aan je reactie op bovenstaande posts lijkt mij een bordermanager cursus raadzaam zodat internet access wel blijft werken

[ Voor 6% gewijzigd door Border|IA op 18-09-2003 09:17 ]

novell..........eDir........Bordermanager