URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 4175
[ Назад ]

Исходное сообщение
"Особая маркировка"

Отправлено fluxbox , 13-Мрт-09 14:30 
Ребята помогите сделать такую вещь скажем есть две машины А и Б
Нужно на машине Б как-то маркировать трафик который идет на машину А,
а на машине А проверять есть ли маркирова, и если есть, пускать дальше в нет...

Вот искал по доках что-то не нашел... вроде можно маркировать через DSCP?

делал на машине Б
iptables -t mangle -A OUTPUT -p tcp -j DSCP --set-dscp 1

но как проверять на машине А, пока что не пойму...

Кто чем поможет? )


Содержание

Сообщения в этом обсуждении
"Особая маркировка"
Отправлено Pahanivo , 13-Мрт-09 15:59 
>[оверквотинг удален]
>
>Вот искал по доках что-то не нашел... вроде можно маркировать через DSCP?
>
>
>делал на машине Б
>iptables -t mangle -A OUTPUT -p tcp -j DSCP --set-dscp 1
>
>но как проверять на машине А, пока что не пойму...
>
>Кто чем поможет? )

tcp/ip позволяет маркировать трафик?


"Особая маркировка"
Отправлено fluxbox , 13-Мрт-09 18:04 

>tcp/ip позволяет маркировать трафик?

понял... )
но всеравно проблема стоит, какими путями решать?


"Особая маркировка"
Отправлено Pahanivo , 13-Мрт-09 18:59 
>
>>tcp/ip позволяет маркировать трафик?
>
>понял... )
>но всеравно проблема стоит, какими путями решать?

vlan?


"Особая маркировка"
Отправлено fkluxbox , 13-Мрт-09 20:38 
>>
>>>tcp/ip позволяет маркировать трафик?
>>
>>понял... )
>>но всеравно проблема стоит, какими путями решать?
>
>vlan?

Ситуация така... "Б" это проксяк который через шлюз "А" виходит в нет... есть особоумные с админскими правами (так надо для работы) которые пробую менять свои айпишки на айпишку проксяка или на айпишку директора... соотвественно пробуют ходить в нет напрямую... вот и подумал если можно маркировать трафик от проксяка и пускать только маркированый дальше проблема бы решиалсь...


"Особая маркировка"
Отправлено angra , 14-Мрт-09 14:26 
Для отловли смены ip/mac есть вещи типа arpwatch или ipsentinel. Две машины с одним ip или mac в одной сети в любом случае приводят к конфиликту и за такое надо очень больно наказывать.
Ничто не мешает злоумышленикам точно также маркировать трафик по ToS.  
Если не хочется или нет возможности сделать vlan, то можно попробовать сделать ip-ip туннель или поднять vpn.

"Особая маркировка"
Отправлено Scrooge , 14-Мрт-09 17:14 
>Ситуация така... "Б" это проксяк который через шлюз "А" виходит в нет...
>есть особоумные с админскими правами (так надо для работы) которые пробую
>менять свои айпишки на айпишку проксяка или на айпишку директора... соотвественно
>пробуют ходить в нет напрямую... вот и подумал если можно маркировать
>трафик от проксяка и пускать только маркированый дальше проблема бы решиалсь...
>

1) Докладная на имя директора...
2) Реструктуризация сети (достаточно промежуточного  маршрутизатора), как следствие - прозрачный прокси в другом диапазоне...
3) управляемый свитч с привязкой маков по портам...
Короче, вариантов больше более чем много...


"Особая маркировка"
Отправлено p0gank , 13-Мрт-09 21:23 
Ну есть два решения.
1. Чисто административный, ловим вредителя и штрафуем его.
2. Технический, группу с административными правами в отдельный vlan и пускай резвятся.



"Особая маркировка"
Отправлено fkluxbox , 14-Мрт-09 10:06 
>Ну есть два решения.
>1. Чисто административный, ловим вредителя и штрафуем его.
>2. Технический, группу с административными правами в отдельный vlan и пускай резвятся.
>

1. ну это само собой )
2. для себя хотел бы уяснить... значит без vlan никак...

Я вот подумал если на проксе маркировать через tos как поверять трафик на шлюзе?
Ведь по умолчанию винда tos не юзает... значить можно таким путем пойти?


"Особая маркировка"
Отправлено p0gank , 14-Мрт-09 14:33 
Гланды через задницу удалять тоже никто не мешает, но никто этого не делает. :-) А если пользователи умеют пользоваться wireshark'ом и научатся маркировать пакеты как прокси ? Пользователя с правами администратора надо всегда выделять в категорию особо опасных, ибо накосячить он сможет не только осознано.

>Я вот подумал если на проксе маркировать через tos как поверять трафик
>на шлюзе?
>Ведь по умолчанию винда tos не юзает... значить можно таким путем пойти?
>


"Особая маркировка"
Отправлено Arifolth , 20-Мрт-09 00:18 

>Кто чем поможет? )

по существу - можете попробовать манипулировать значением поля TOS
-j TOS --set-tos 0x10