Ребята помогите сделать такую вещь скажем есть две машины А и Б
Нужно на машине Б как-то маркировать трафик который идет на машину А,
а на машине А проверять есть ли маркирова, и если есть, пускать дальше в нет...Вот искал по доках что-то не нашел... вроде можно маркировать через DSCP?
делал на машине Б
iptables -t mangle -A OUTPUT -p tcp -j DSCP --set-dscp 1но как проверять на машине А, пока что не пойму...
Кто чем поможет? )
>[оверквотинг удален]
>
>Вот искал по доках что-то не нашел... вроде можно маркировать через DSCP?
>
>
>делал на машине Б
>iptables -t mangle -A OUTPUT -p tcp -j DSCP --set-dscp 1
>
>но как проверять на машине А, пока что не пойму...
>
>Кто чем поможет? )tcp/ip позволяет маркировать трафик?
>tcp/ip позволяет маркировать трафик?понял... )
но всеравно проблема стоит, какими путями решать?
>
>>tcp/ip позволяет маркировать трафик?
>
>понял... )
>но всеравно проблема стоит, какими путями решать?vlan?
>>
>>>tcp/ip позволяет маркировать трафик?
>>
>>понял... )
>>но всеравно проблема стоит, какими путями решать?
>
>vlan?Ситуация така... "Б" это проксяк который через шлюз "А" виходит в нет... есть особоумные с админскими правами (так надо для работы) которые пробую менять свои айпишки на айпишку проксяка или на айпишку директора... соотвественно пробуют ходить в нет напрямую... вот и подумал если можно маркировать трафик от проксяка и пускать только маркированый дальше проблема бы решиалсь...
Для отловли смены ip/mac есть вещи типа arpwatch или ipsentinel. Две машины с одним ip или mac в одной сети в любом случае приводят к конфиликту и за такое надо очень больно наказывать.
Ничто не мешает злоумышленикам точно также маркировать трафик по ToS.
Если не хочется или нет возможности сделать vlan, то можно попробовать сделать ip-ip туннель или поднять vpn.
>Ситуация така... "Б" это проксяк который через шлюз "А" виходит в нет...
>есть особоумные с админскими правами (так надо для работы) которые пробую
>менять свои айпишки на айпишку проксяка или на айпишку директора... соотвественно
>пробуют ходить в нет напрямую... вот и подумал если можно маркировать
>трафик от проксяка и пускать только маркированый дальше проблема бы решиалсь...
>1) Докладная на имя директора...
2) Реструктуризация сети (достаточно промежуточного маршрутизатора), как следствие - прозрачный прокси в другом диапазоне...
3) управляемый свитч с привязкой маков по портам...
Короче, вариантов больше более чем много...
Ну есть два решения.
1. Чисто административный, ловим вредителя и штрафуем его.
2. Технический, группу с административными правами в отдельный vlan и пускай резвятся.
>Ну есть два решения.
>1. Чисто административный, ловим вредителя и штрафуем его.
>2. Технический, группу с административными правами в отдельный vlan и пускай резвятся.
>1. ну это само собой )
2. для себя хотел бы уяснить... значит без vlan никак...Я вот подумал если на проксе маркировать через tos как поверять трафик на шлюзе?
Ведь по умолчанию винда tos не юзает... значить можно таким путем пойти?
Гланды через задницу удалять тоже никто не мешает, но никто этого не делает. :-) А если пользователи умеют пользоваться wireshark'ом и научатся маркировать пакеты как прокси ? Пользователя с правами администратора надо всегда выделять в категорию особо опасных, ибо накосячить он сможет не только осознано.>Я вот подумал если на проксе маркировать через tos как поверять трафик
>на шлюзе?
>Ведь по умолчанию винда tos не юзает... значить можно таким путем пойти?
>
>Кто чем поможет? )по существу - можете попробовать манипулировать значением поля TOS
-j TOS --set-tos 0x10