Да я вроде старался...
Хорошо, опишу подробнее для большего понимания целей (что может помочь при выборе средств).
Машина на работе, в корпоративной сети, стоит в помещении, куда может кто прийти, имеет доступ в инет через корпоративный прокси, где почти всё перекрыто напрочь и на самой машине у меня гостевые права. Винде той уже несколько лет, всё как обычно загажено и страшно тормозит. Пользуюсь машиной в подавляющем большинстве случаев я, но иногда приходят коллеги пошариться в инете или начальство поучить меня работать ;) Кто там её админит я даже не знаю (там стоит DameWare для удалённого доступа), изредка приходит какой-то мутный мальчик-эникейщик. Биос не запаролен, cd и usb доступны.
У меня на работе иногда появляется некоторое кол-во свободного времени, которое я бы хотел использовать с пользой для себя. Но на этой машине я даже на форумы пароли вводить боюсь, не то что к почте или к админке своих сайтов. Причины объяснять, думаю, необходимости нет (учитывая вышеизложенное). Потому решение было простым и единственным - родную систему нахальнейшим образом полностью игнорим, загружаем любимый центос со свого внешнего USB HDD и поднимаем шифрованный туннель через 443 порт до дома, а оттуда уже идём в инет "по-человечески"... С этой частью нет проблем, всё уже настроено и прекрасно работает.
По факту на машине всего два пользователя: я (в лице локального нью-админа) и гости (коллеги и началальство). Мой аккаунт, ес-но, под хорошим паролем, а гостевой без пароля вообще. Совсем убрать "гостей" нельзя, это таки не личный комп. Постоянно разлогиниваться тоже не хочется (могу отвлечься на минутку, а вернуться через 2 часа - автоблокировка экрана через 1 мин, но можно войти под гостем без пароля).
"Прятать" туннель я хочу из тех соображений, чтобы малопродвинутые гости не ходили в инет под моим домашним айпишником и не смотрели кино онлайн (которое, ес-но, не работает через прокси), т.к это, во-первых, может скомпрометировать мой домашний адрес (где они там ходят и что делают - никому неизвестно), а во-вторых сильно возросший трафик может привлечь внимание сетевых админов (что мне тоже, ес-но, тоже не нужно). Пусть ходят как все и как сейчас (через прокси). Вот как-то так...
А полноценного там и сейчас нет и организовать его для всех задача не стоит. Задача сделать исключительно для себя-любимого ;) Другим надо просто сделать "не хуже", чем есть сейчас (этим я всегда смогу оправдаться и объяснить, почему нет кнопки "пуск" и часы сверху, если кто вдруг случайно заметит и задаст такой вопрос). Типа забота о безопасности ;)
Точно ведь, чего я парюсь...
Пусть туннель будет поднят постоянно, просто гостям к нему доступ запрещу iptables.
Тем более, что они должны ходить в инет через корпоративную проксю, которую я им в браузере и пропишу заранее. Если и уберут прокси - то вообще ничего не будет работать, как и в штатной винде.
До кучи пойду погуглю, как защитить настройки браузеров от изменения... Хотя, наверное, в линуксах достаточно на их конфиги права 400 поставить...
Шпынять сайт не имеет смысла. Сегодня он тут, завтра там... Не угонишься всё равно, только пиарить это его будет.
Гораздо лучше, когда они сидят на месте ровно и уже начинают расслабляться и часто при этом пренебрегают безопасностью. Проще в оперативную разработку взять, втереться в доверие и накрыть при необходимости.
А к хостеру тут нечего предъявлять, имхо. Для этого есть МВД и его подразделения по обороту наркоты. Иначе, по такой логике, надо в первую очередь запретить все телеканалы и ввоз/продажу телевизоров - там всякой гадости и лохотронов полно, и рекламуруют всякую дрянь не меньше.
🙅
За "левый" айпишник в сети могут вздрючить
Тип запуска менять идеологически неправильно, имхо.
Если с локальными пользователями еще можно как-то разрулить (не без шансов сломать мозг), то как быть с системными? Хотелось бы весь системный фоновой трафик (ntp, обновления и пр.) тоже через туннель гнать...
Да, только локально. Вход по сети перекрыт напрочь.
Тут сейчас пошаманил с iptables, правило
-A OUTPUT -m owner --uid-owner user -j DROP
даёт результат: перекрывает кислород пользователю user напрочь. Добавить туда адрес vpn-сервера тоже не вопрос, ес-но.
Вот теперь думаю, как будет вести себя система в этом случае... Тут надо глубоко понять идеологию, а с этим тяжко :(
Если я перекрою юзеру доступ к туннелю - установит ли она для него свои маршруты, как были до поднятия туннеля? При том, что в это же время всем остальным пользователям (в т.ч системным) будут доступны туннель и, соответстственно, default gateway совсем другой.
Разве могут существовать две соверешенно разные таблицы маршрутизации одновременно?
Насколько я понял - это единственное идеологически правильное, но самое сложное решение.
Из беглого чтения манов iptables понятно: можно дропать пакеты от определённого юзера, но как строить маршруты в зависимости от UID - пока даже идеи нет :(
Непонятно главное: если одновременно залогинены оба - какая таблица маршрутизации будет работать? Разве их может быть две одновременно?
А он как служба стартует еще до логина.
И, далее, что получится, если залогинен "привелигированный" пользователь, для которого нужен туннель и временно зашёл гость (без выхода предыдущего пользователя). У гостя туннель будет доступен в таком случае?
Или может еще какие варианты есть?
Задачу можно сформулировать еще проще - не пускать в туннель гостей (т.е фактически чтобы они случайно туда не попали). Гости не продвинутые, они максимум потыкают видимые иконки, но глубко никто не полезет (т.е шибко шифроваться смысла нет)
Да, с хост-трекер.ком, конечно.
Там, правда, на бесплатном аккаунте интервал проверки 30 мин (т.е что-то мог и пропустить), но всё-таки ориентир.
Когда-то давно Яндекс тоже "склеил" два сайта, которые были моими, но в разное время. Эти два сайта никогда не имели ничего общего в плане содержимого (кроме общего слова в домене) и даже домены никогда не были делегированы обновременно.
Написал в Я - ответил вроде как человек, довольно быстро расклеилось и актуальный стал индексироваться.
Так что пробуйте!
По большому счёту Andreyka прав.
Нужно чтоб стабильно работало, а не чтобы быстро чинили.
Я не буду пользоваться ни хостером, ни провайдером, ни любой другой услугой, где исполнителя постоянно надо "пинать" для того, чтобы оно работало и работало так, как заказано. Пусть он даже и быстро реагирует. Надо, чтобы он сам следил за своим сервисом и делал нужные шаги до обращения к нему.
Абсолютно то же самое можно говорить и про многие другие области.
Например - автомобили. Лично мне непонятно, как можно ездить и не знать хотя бы общее его устройство, а таких сейчас - подавляющее большинство.
Домашний интернет. 90% юзеров уверены, что все проблемы с доступом связаны с провайдером и что именно он должен следить за обновлением антивируса на компе юзера, наличием свежей киношки в локалке и работой всех пионерских игровых сереверов.
И так везде... Это плохо, но с этим вряд ли уже можно что-то сделать :(
