Автор Тема: Настройка для проведения ТЭ ИКТ (КЕГЭ)  (Прочитано 3212 раз)

Оффлайн Mopnex

  • Начинающий
  • *
  • Сообщений: 10
Доброго!
По требованиям проведения тестового экзамена по информатике и коммуникационным технологиям в компьютерной форме необходимо организовать одноранговую сеть с запретом доступа в вовне по любому из возможных интерфейсов. В одноранговой сети необходимо обеспечить функционирование сервиса сетевой печати между АРМ Администратора и АРМ Организатора (к которому подключен принтер), а также обращение со всех станций к АРМ Администратора на порт 8888. Также на АРМ Организатора и АРМ Участника необходимо на время экзамена блокировать возможность работы с любыми внешними носителями.
После некоторого "ковыряния" родились следующие правила для брандмауэра:
содержание /etc/net/ifaces/default/fw/iptables/filter/INPUT:
-P DROP
-f -j DROP
-m state --state ESTABLISHED,RELATED -j ACCEPT
-i eth0 -p tcp --dport 8888 -j ACCEPT
-i eth0 -p tcp --dport 631 -j ACCEPT
-i eth0 -p udp --dport 631 -j ACCEPT
-i eth0 -p tcp --dport 5353 -j ACCEPT
-i eth0 -p udp --dport 5353 -j ACCEPT-i eth0 -p icmp -j ACCEPT
-i all -j DROP
содержание /etc/net/ifaces/default/fw/iptables/filter/OUPUT:
-P DROP
-f -j DROP
-m state --state ESTABLISHED,RELATED -j ACCEPT
-o eth0 -p tcp --dport 8888 -j ACCEPT
-o eth0 -p tcp --dport 631 -j ACCEPT
-o eth0 -p udp --dport 631 -j ACCEPT
-o eth0 -p tcp --dport 5353 -j ACCEPT
-o eth0 -p udp --dport 5353 -j ACCEPT
-o lo -p udp -j ACCEPT
-o lo -p tcp -j ACCEPT
-o all -j DROP

Прошу поправить меня, если я что-то не учел. Хочется какого-то изящного решения по оперативной блокировке/разблокировке сети и всевозможных устройств (USB, Card-reader, Bluetooth и пр.). Над скриптом работаю, но править нужно одновременно несколько файлов...

С уважением, Морпех
« Последнее редактирование: 18.10.2012 22:44:16 от Skull »

Оффлайн YYY

  • Мастер
  • ***
  • Сообщений: 5 950
>блокировать возможность работы с любыми внешними носителями.
я сделал просто - на /media права - принадлежность руту и группе
Если юзер в группе - все работает у него. Если юзер не в группе - то у него облом...

ЗЫ: а сеть изолировать легче всего физически - выделнуть проводок и все дела...

Оффлайн Mopnex

  • Начинающий
  • *
  • Сообщений: 10
Проводок выдергивать нельзя: ученик работает в сети (http соединение АРМ Участник -- АРМ Организатор по порту 8888), а с АРМ Администратора необходимо печатать на принтер, подключенный к АРМ Организатора. При этом все прочие возможные беспроводные подключения должны быть блокированы. Все эти блокировки должны легко (быстро) устанавливаться и легко сниматься.

Оффлайн Bolot

  • Завсегдатай
  • *
  • Сообщений: 137
    • Email
Как я  понял, согласно требованиям - локальная сеть для проведения экзамена не должна иметь ФИЗИЧЕСКИ левых подключений. Придется выдергивать из коммутаторов остальных наверное... так проще, чем мозг ломать и vlan настраивать

Оффлайн YYY

  • Мастер
  • ***
  • Сообщений: 5 950
:)
У меня изначально на каждый класс свой свич а на учительских 2 сетевухи :)

Оффлайн Mopnex

  • Начинающий
  • *
  • Сообщений: 10
Наверное, я не совсем четко сформулировал задачу: не должно быть никаких сетевых подключений, кроме единственного, которое используется. Поэтому необходимо блокировать ВСЕ ВОЗМОЖНЫЕ сетевые соединения, включая Wi-Fi, bluetooth и пр. Именно поэтому желательно выполнять блокировку исходящих пакетов...