Как ограничить печать на JetDirect с опр. IP-адресов ?

Обсуждение технических вопросов по продуктам Novell

Как ограничить печать на JetDirect с опр. IP-адресов ?

Сообщение Андрей Тр. aka RH » 25 фев 2004, 11:58

Поскольку раздела по печати у нас нет, то будем валить все в одну кучу :roll: Хотя к Новеллу ситуация отношения почти не имеет. Итак ..

Есть HPLJ4550n, с JetDirect 610 ( firmware обновил ), вот понадобилось ограничить к нему доступ так, чтобы юзеры с ноутбуков не могли напрямую печатать ( как на сетевой принтер, который они, в принципе, могут установить себе сами ), а могли только через сервер.

Посмотрел в Security возможность задания Access List ( до 10 IP-адресов или диапазонов ) - не очень понял, это именно ограничение на печать на данном принтере или же ограничение управления им .. попробовал задать несколько IP-шников, вроде после этого распечаталось и с раб.станции, не внесенной в этот список ( на ней стоит только IP, IPX на JetDirect'e отключен, принтер установлен как сетевой ). Чего я делаю неправильно или неправильно понимаю ?
Даешь отдельный раздел по ZENworks ... :bad-words: .. и печати !
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

Re: Как ограничить печать на JetDirect с опр. IP-адресов ?

Сообщение Сергей Дубров » 25 фев 2004, 12:46

Андрей Тр. aka RH писал(а):Поскольку раздела по печати у нас нет, то будем валить все в одну кучу :roll: Хотя к Новеллу ситуация отношения почти не имеет. Итак ..

Есть HPLJ4550n, с JetDirect 610 ( firmware обновил ), вот понадобилось ограничить к нему доступ так, чтобы юзеры с ноутбуков не могли напрямую печатать ( как на сетевой принтер, который они, в принципе, могут установить себе сами ), а могли только через сервер.

Закрыть на принт-сервере порт 9100 (Direct Print) :). По умолчанию эти засранцы (HP) дают печатать всеми им известными способами, включая печать по ftp (без авторизации!).

Андрей Тр. aka RH писал(а):Посмотрел в Security возможность задания Access List ( до 10 IP-адресов или диапазонов ) - не очень понял, это именно ограничение на печать на данном принтере или же ограничение управления им .. попробовал задать несколько IP-шников, вроде после этого распечаталось и с раб.станции, не внесенной в этот список

Хм, странно, у нас есть пара рабочих групп, где в качестве рабочих станций - только линухи, и вот они специально перекомпоновывали свои ip-шники, чтобы уложиться в отведенный диапазон в 10 групп на принтсервере. И совершенно точно, те, кто не попали в этот дипазон, печатать на их принтерах не могут - access denied, т.е. этот список работает именно как ACL - кто в нём есть - могут печатать (и управлять, кстати, иначе, если правильно помню, к принтсерверу никаким ip-шным способом подцепиться не удается, включая telnet).
Аватара пользователя
Сергей Дубров
 
Сообщения: 2096
Зарегистрирован: 05 июн 2002, 06:07
Откуда: Новосибирск, ин-т ядерной физики СО РАН

Сообщение Андрей Тр. aka RH » 25 фев 2004, 13:00

Здорово .. то есть это именно ACL на печать, так ? Если я правильно понимаю, внеся в него только IP серверов ( точнее даже - сервера, через который идет печать ), я запрещу печать с рабочих станций, верно ? Не очень понял про 9100 порт - если и так уже применен ACL для печати по TCP/IP, в чем смысл обрезать еще и этот порт ? Хотя я смутно представляю, что такое есть Direct Print .. но да, заметил уже, что там по умолчанию разрешено все, практически. Толком еще не разбирался, правда .. но с той станции тестовая страница точно распечаталась :? Завтра попробую еще .. хотя непонятно пока, что именно пробовать ( ведь ACL у JetDirect уже задан ).
Даешь отдельный раздел по ZENworks ... :bad-words: .. и печати !
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

Сообщение Сергей Дубров » 25 фев 2004, 13:23

Андрей Тр. aka RH писал(а):Здорово .. то есть это именно ACL на печать, так ?

Да, по крайней мере наши принтсервера именно так это и понимают.

Андрей Тр. aka RH писал(а):Если я правильно понимаю, внеся в него только IP серверов ( точнее даже - сервера, через который идет печать ), я запрещу печать с рабочих станций, верно ? Не очень понял про 9100 порт - если и так уже применен ACL для печати по TCP/IP, в чем смысл обрезать еще и этот порт ?

А это один из многочисленных способов печати, которые поддерживают хипишные принтсервера. Мы у себя, если принтсервер работает от сервера only, direct print закрываем, чтобы не светились ненужные порты как класс. Да, ACL перекрывает доступ к direct print-у, но, чтобы дверь не пытались взломать, проще ликвидировать саму дверь :D . Любители виндовых одноранговостей этот порт вынуждены держать включённым.

Андрей Тр. aka RH писал(а):Хотя я смутно представляю, что такое есть Direct Print .. но да, заметил уже, что там по умолчанию разрешено все, практически.

Со старыми принтсерверами у HP была вообще засада на эту тему - похоже, что объёма флеша не хватало, чтобы вывести на экран все возможные установки и они часть настроек просто не показывали. а среди них был по умолчанию открытый доступ к печати по ftp с полностью отстутствующим разграничением доступа (все могли печатать, без исключения!). И выключать его приходилось только после обнаруженного (сканированием) светящегося 21-го порта.
Аватара пользователя
Сергей Дубров
 
Сообщения: 2096
Зарегистрирован: 05 июн 2002, 06:07
Откуда: Новосибирск, ин-т ядерной физики СО РАН

Сообщение Андрей Тр. aka RH » 26 фев 2004, 06:52

Отключил 9100 на принтере, со станции печатать не смог ( напрямую, пока без сервера вообще ), потом сообразил поменять тип порта в настройках принтера с RAW на LPR, верно ? Оно отказалось вносить изменения без указания "очереди" ( в свойствах LPR ), поэтому глянул на вебстранице JetDirect'a в LPD .. указал на станции очередь AUTO ( чего это такое - не очень понимаю :) ). Попробовал - печатает.

Тогда создал на сервере NDPS-принтер, и через него мне пока не удалось ничего распечатать - задания "застревают" в очереди. Даже когда на принтере полностью очистил Acess List .. может, чего-то недоделал при создании NDPS PA ? В NWAdmin'e в свойствах принтера в закладке LPR Client Support включил "Enable LPR/LDP Services for that printer" ( это вообще обязательно делать ? ). Пользуюсь HP Gateway, внешне все выглядит нормально.
Даешь отдельный раздел по ZENworks ... :bad-words: .. и печати !
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

Сообщение Сергей Дубров » 26 фев 2004, 09:23

Андрей Тр. aka RH писал(а):Отключил 9100 на принтере, со станции печатать не смог ( напрямую, пока без сервера вообще ), потом сообразил поменять тип порта в настройках принтера с RAW на LPR, верно ?

LPR/LPD - это другой протокол и другой порт. Насколько я в курсе, NDPS именно по этому протоколу с принтсервером и связывается (по крайней мере, для принтеров, подключённых к рабочей станции, приходится поднимать службу печати Unix aka LPD).

Андрей Тр. aka RH писал(а):Оно отказалось вносить изменения без указания "очереди" ( в свойствах LPR ), поэтому глянул на вебстранице JetDirect'a в LPD .. указал на станции очередь AUTO ( чего это такое - не очень понимаю :) ). Попробовал - печатает.

Да, вроде именно так я и делал, но уже подзабыл, больше года новых сетевых принтеров не появлялось.

Андрей Тр. aka RH писал(а):Тогда создал на сервере NDPS-принтер, и через него мне пока не удалось ничего распечатать - задания "застревают" в очереди. Даже когда на принтере полностью очистил Acess List .. может, чего-то недоделал при создании NDPS PA ?

Честно говоря, у меня не очень большой опыт работы с ndps, поэтому не подскажу.

Андрей Тр. aka RH писал(а):В NWAdmin'e в свойствах принтера в закладке LPR Client Support включил "Enable LPR/LDP Services for that printer" ( это вообще обязательно делать ? ).

Вроде бы да, LPR/LPD рабочий протокол, по которому ndps общается с удалённым принтером.

Андрей Тр. aka RH писал(а):Пользуюсь HP Gateway, внешне все выглядит нормально.

Я не знаю, в ndps - не знаток.
Аватара пользователя
Сергей Дубров
 
Сообщения: 2096
Зарегистрирован: 05 июн 2002, 06:07
Откуда: Новосибирск, ин-т ядерной физики СО РАН

Сообщение Timur Kazimirov » 26 фев 2004, 10:31

Мы засунули все принт-сервера в отдельный VLAN, разрешили доступ к этому VLANу только серверам с NDPS менеджерами и брокером. Все.
Timur Kazimirov
 
Сообщения: 1153
Зарегистрирован: 10 фев 2004, 09:56
Откуда: Южно-Сахалинск

Сообщение Сергей Дубров » 26 фев 2004, 10:56

Timur Kazimirov писал(а):Мы засунули все принт-сервера в отдельный VLAN, разрешили доступ к этому VLANу только серверам с NDPS менеджерами и брокером. Все.

Если вы намекаете на то, что VLAN обеспечивает надёжную защиту, то вы заблуждаетесь. Я своим студентам в курсе по проблемам безопасности даю конкретные примеры того, как VLAN-вые разграничения преодолеваются на раз-два, просто природа так устроена, там ничего сложного нет. А иллюзия безопасности будет греть душу :)
Аватара пользователя
Сергей Дубров
 
Сообщения: 2096
Зарегистрирован: 05 июн 2002, 06:07
Откуда: Новосибирск, ин-т ядерной физики СО РАН

Сообщение Timur Kazimirov » 26 фев 2004, 11:06

Да нет, не намекаю :) Так и маршутизаторы задействованы разумеется. Просто "при прочих равных условиях" :) Да и упорядоченность не помешает.[/quote]
Timur Kazimirov
 
Сообщения: 1153
Зарегистрирован: 10 фев 2004, 09:56
Откуда: Южно-Сахалинск

Сообщение Андрей Тр. aka RH » 26 фев 2004, 16:00

Вариант с VLAN рассматривался ( поверхностно ), но не все принтеры подключены так, что есть возможность им воспользоваться. Проще разобраться с одним принтером ( тем более, что такая потребность есть лишь только в отношении этого ), да и противодействия кулхацкерам в данном случае не предполагается, а только заурядным пользователям. Нужно одно ограничение - чтобы пользователь с ноутбуком не смог установить себе данный принтер обычным способом ( Add printer ), зная его IP-адрес, и все. Варианты со взломом у моему случаю не относятся.

С NDPS буду разбираться .. пока не заработало.
Даешь отдельный раздел по ZENworks ... :bad-words: .. и печати !
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

Сообщение Timur Kazimirov » 27 фев 2004, 02:56

Как еще один вариант, вернее в дополнение к предыдущему, можно попробовать следующее:
Для клиента в NWAdmin'е прописать Allow only specified printers to reside on workstations, далее указать принтер, который будет ему принудительно устанавливаться при загрузке. Разумеется, потом он сможет добавить принтер через Add printer, но это до первой перезагрузки.
Кстати LPR/LPD можно отключить. Это для печати с юниксовых машин.
Timur Kazimirov
 
Сообщения: 1153
Зарегистрирован: 10 фев 2004, 09:56
Откуда: Южно-Сахалинск

Сообщение Андрей Тр. aka RH » 27 фев 2004, 06:21

Timur Kazimirov писал(а):Как еще один вариант, вернее в дополнение к предыдущему, можно попробовать следующее:
Для клиента в NWAdmin'е прописать Allow only specified printers to reside on workstations, далее указать принтер, который будет ему принудительно устанавливаться при загрузке. Разумеется, потом он сможет добавить принтер через Add printer, но это до первой перезагрузки.
Интересно .. вообще, я думал, что "Allow only specified printers .." контролирует только новелловские принтеры ( и только NDPS ? ), а установленные на станции виндозовские оно не трогает. Вполне возможно, что неправ - мы раздачей принтеров управляем в основном через Zenworks, с очередей на NDPS / iPrint постепенно переходим.

Кое-что удалось попробовать - такое ощущение, что он не печатает по NDPS, пока отключен DirectPrint ( порт 9100 ). Кстати, в процессе нашел вот такую вот .. вещь : http://support.novell.com/cgi-bin/searc ... 088709.htm Хотя мой-то точно из разряда совместимых.

P.S. 9100 на принтере отключен - задание висит в очереди ( без ошибок ), через вебсервер включаю 9100 - через пару секунд задание нормально уходит на печать.

P.P.S. С access list, похоже, я зря указывал маску :) по привычке указал IP-адрес сервера и маску к нему .. очевидно, таким образом тут задается диапазон адресов ( и все из него могут печатать ). Маску убрал - печатать можно только с данного адреса. Вот бы еще в доке было про это написано .. а то про то, что маска - необязательный параметр, прочитал только зайдя телнетом ..
Даешь отдельный раздел по ZENworks ... :bad-words: .. и печати !
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

Сообщение Timur Kazimirov » 27 фев 2004, 09:34

Кое-что удалось попробовать - такое ощущение, что он не печатает по NDPS, пока отключен DirectPrint ( порт 9100 )

Когда на консоли посмотришь экран HP Gateway, то увидишь, что именно на 9100 линк идет.
Timur Kazimirov
 
Сообщения: 1153
Зарегистрирован: 10 фев 2004, 09:56
Откуда: Южно-Сахалинск

Сообщение Андрей Тр. aka RH » 27 фев 2004, 14:09

Timur Kazimirov

Да я верю :) хотя надо будет и вправду посмотреть. Тогда не очень понятно, как оно работало у Сергея Дуброва - разве только потому, что там Линухи стояли ? Интересно, а если вместо HP Gateway воспользоваться новелловским, то будет идти по другому порту ?
Даешь отдельный раздел по ZENworks ... :bad-words: .. и печати !
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

Сообщение Сергей Дубров » 27 фев 2004, 15:08

Андрей Тр. aka RH писал(а):Timur Kazimirov

Да я верю :) хотя надо будет и вправду посмотреть. Тогда не очень понятно, как оно работало у Сергея Дуброва - разве только потому, что там Линухи стояли ? Интересно, а если вместо HP Gateway воспользоваться новелловским, то будет идти по другому порту ?

Кстати, вполне вероятный вариант - поскольку про свои принтсервера HP в курсе, их gateway имеет полное право ходить по 9100 порту. А для generic вполне логично использовать традиционный LPR/LPD.
Аватара пользователя
Сергей Дубров
 
Сообщения: 2096
Зарегистрирован: 05 июн 2002, 06:07
Откуда: Новосибирск, ин-т ядерной физики СО РАН


Вернуться в Novell

Кто сейчас на конференции

Сейчас этот форум просматривают: Bing [Bot] и гости: 60

cron