Windows - Általunk megadott webhelyek elérésének tiltása gépenként, felhasználónkként

forráskód letöltése
Az ipseccmd parancssori eszköz az ipsec MMC beépülő modul parancssori megfelelője. Cikkünkben bemutatjuk a használatát, és segítségével, egy példával szemléltetjük egy lokális gépen az Internet-tartalom szelektív szűrését.
Az ipseccmd parancs többféle üzemmódban futhat. Cikkünkben a dinamikus üzemmóddal foglalkozunk. Segítségével névtelen szabályokat definiálhatunk és adhatunk hozzá a házirendhez. Ezek a szabályok ugyanúgy működnek, mint a korábban létrehozott más szabályok, de a kezelésük egyszerűbb, a szolgáltatás újraindítása után is aktívak maradnak. Ez az üzemmód a parancs alapértelmezett üzemmódja.
Használata (csak a forgalomszűréshez szükséges paraméterekkel foglalkozunk):
ipseccmd -f szűrőlista
Az alábbi szintaxis segítségével az összes dinamikus házirend törölhető:
ipseccmd –u
Paraméterek:
  • -f szűrőlista: Kötelező paraméter az első szintaxis esetén. Egy vagy több, szóközökkel elválasztott szűrő-meghatározás megadása a gyorsmódú biztonsági társításhoz. Minden egyes szűrő-meghatározás egy – e szabály érvénye alá tartozó – hálózatforgalmi csoportot definiál.
  • -u: Kötelező paraméter a második szintaxis esetén. Az összes dinamikus szabály törlése.
  • /?: Súgót jelenít meg a parancssorban.
A parancs futtatásához rendszergazdai jogosultság szükséges. Windows 2000 gépeken nem alkalmazható.
A -f segítségével, szóközzel elválasztva egy vagy több szűrőt adhatunk meg a következő formátumban:
forráscím/forrásmaszk:forrásport=célcím/célmaszk:célport:protokoll
A maszk- és a port-paraméterek megadása nem kötelező. Ha nem adjuk meg, akkor valamennyi portot és a 255.255.255.255 maszkot használja a parancs. Protokollt sem kötelező megadni, elhagyása esetén valamennyi protokollra értelmezi a rendszer a parancsot. Rövidítésként a következők használhatók: TCP, UDP, RAW, ICMP.
A szűrők tükrözését az (=) jel (+)-ra cserélésével tudjuk megvalósítani. A cím/maszk párosokat pedig behelyettesíthetjük a következőkkel:
Érték Leírás
0 Saját cím(ek)
* Bármely cím
DNS-név DNS név. A rendszer nem veszi figyelembe a DNS nevet, ha több címhez is hozzárendelhető.
GUID Helyi hálózati kapcsolat globális azonosítója.
Engedélyező szűrő esetén a meghatározást zárójelek közé kell tenni. Blokkolás esetén pedig kapcsos zárójelet kell használni.
Az IP címek megadásánál is használhatunk * karaktereket a nyolcas tagok helyettesítéséhez. Pl. 10.*.*.*
Lokális gép IP forgalmának szűrése
Példánkban egy olyan gépet tekintünk, amelyet több felhasználó is használ. Lehet ez egy otthoni gép. Ha pl. azt szeretnénk, hogy gyerekeink csak megadott Internet oldalakhoz férjenek hozzá, akkor az ipseccmd parancs segítségével belépéskor dinamikus házirend-beállításokat érvényesíthetünk.
Az alábbi parancsok futtatásával állíthatjuk be az Internet használatát az igényeinknek megfelelőre.
ipseccmd –u
A parancs segítségével az érvényben levő dinamikus házirendek törlődnek. Pl. a rendszergazda belépésekor elég ezt a parancsot futtatni, sőt szükséges is, hogy az esetleges korábbi korlátozások megszűnjenek.
ipseccmd –f (0+ns1.szolgaltato.hu) (0+ns2.szolgaltato.hu)
Elsőként engedélyezzük a DNS kiszolgálók elérését, hogy működjön a névfeloldás.
ipseccmd –f [0+*]
Ezután mindent letiltunk. Abból indulunk ki, hogy semmit sem lehet, kivéve azt, ami megengedett. Fontos, hogy előbb történjen meg a DNS szerverek engedélyezése, mivel ha mindent letiltunk, akkor már az engedélyezés során sem tudja feloldani a DNS szerver nevét a gép.
ipseccmd –f (0+smtp.szolgaltato.hu) (0+pop3.szolgaltato.hu)
Engedélyezzük a levelezéshez szükséges kiszolgálókkal történő kommunikációt is.
ipseccmd –f (0+www.akarmi.hu)
Az így megadott oldal elérhető lesz a felhasználók számára.
Az összegyűjtött parancsokat helyezzük el egy batch állományban, majd indítsuk el parancssorból a gpedit.msc állományt, amely a csoportházirendet hívja elő. Itt a Felhasználó konfigurációja -> Windows beállításai -> Parancsfájlok -> Bejelentkezés megnyitásával hozzáadhatjuk az összeállított batch állományt a listához. Ezzel elérjük, hogy belépéskor a korlátozások érvényre jussanak.
Mivel a beállítások a gépre vonatkoznak és nem a felhasználóra, ezért érdemes a rendszergazdáknak az indítópultban elhelyezni egy egysoros script-et, amely a dinamikus korlátozások feloldását okozza. Természetesen, ha gyors felhasználóváltás segítségével lép be egy rendszergazda, majd a felhasználó visszavált, akkor már a korlátozások nélkül tudja használni az Internetet.
A mellékelt login.bat példákat tartalmaz, de nem valós adatokkal, ezért mielőtt használnánk, állítsuk be azokat. A másik, a loginadmin.bat fájl csupán a feloldó parancsot tartalmazza.