Не хочется отдавать порт 11758 бля wintray - а надо.
-
kaN5300
- Сообщения: 480
- Зарегистрирован: Пт янв 21, 2005 17:27
- Откуда: Ыукзгрщм
- Контактная информация:
Не хочется отдавать порт 11758 бля wintray - а надо.
Так как у нас есть админ, который меняет место дислакации, ему приходится ставить ip для коннекта в интерфейс админа 0.0.0.0 - таким образом открыв порт 11758 для всех (iptables) мы получаем дыру в безопасности. Любой юзер может получить возможность подбора пароля админа. Как бы так сделать, чтобы все могли смотреть статистику через utm_wintray и чтобы в тоже время админ, который перемещается между ip-адресами (дом, оффис...) мог безопасно авторизовываться и не думать о возможности подбора его пароля пользователями.
-
Дельта Сервис
- Сообщения: 69
- Зарегистрирован: Пн фев 28, 2005 13:43
- Контактная информация:
-
kaN5300
- Сообщения: 480
- Зарегистрирован: Пт янв 21, 2005 17:27
- Откуда: Ыукзгрщм
- Контактная информация:
Пока два варианта:
1) Уговорить админа юзать интерфейс только с одного ip (что практически не реально)
2) Попросить админа придумать второй аккаунт скажем admin2 с такимже паролем.
А вообще было бы не плохо, елсиб с следующем билде была реализована возможность создавать список ip/subnet для каждого системного пользователя.
1) Уговорить админа юзать интерфейс только с одного ip (что практически не реально)
2) Попросить админа придумать второй аккаунт скажем admin2 с такимже паролем.
А вообще было бы не плохо, елсиб с следующем билде была реализована возможность создавать список ip/subnet для каждого системного пользователя.
Можно реализовать с помощию форвардинга порта. Выберите любой свободный порт и редиректите соединения на него с нужных вам адресов на порт utm5_core. При этом, в админке нужно коннектится именно на новый порт. Легко сделать на ipfw/ipf/pf/iptables.
PS
Если разработчики предлагают конфигурацию именно с открытым портом ядра, значит уверены что это не приведет к плачевным последствиям по вине самого биллинга.
А если вы можете допустить утрату таких данных как пароли, то случится может что угодно и с любыми системами.
PS
Если разработчики предлагают конфигурацию именно с открытым портом ядра, значит уверены что это не приведет к плачевным последствиям по вине самого биллинга.
А если вы можете допустить утрату таких данных как пароли, то случится может что угодно и с любыми системами.
А смысл? Подключение админкой на стандартный порт останется. А если его закрыть - wintray работать не будет.gravis писал(а):Можно реализовать с помощию форвардинга порта. Выберите любой свободный порт и редиректите соединения на него с нужных вам адресов на порт utm5_core. При этом, в админке нужно коннектится именно на новый порт. .
-
Дельта Сервис
- Сообщения: 69
- Зарегистрирован: Пн фев 28, 2005 13:43
- Контактная информация:
-
kaN5300
- Сообщения: 480
- Зарегистрирован: Пт янв 21, 2005 17:27
- Откуда: Ыукзгрщм
- Контактная информация:
Вот об этом я не думал =). Спасибо!Дельта Сервис писал(а):А почему бы все-таки не поднять vpn (poptop) который будет давать этому аднину какой-нить ип типа 10.20.30.40.
А в админке для админского логина разрешить тока этот 10.20.30.40
Доступ к vpn открыть для 0.0.0.0/0.0.0.0
2 связки логин/пароль(vpn+utm) в этом случае вообще не реально подобрать