URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 3366
[ Назад ]

Исходное сообщение
"нашлись злостные халявщики которые договариваются с владельцами безлим"

Отправлено Biglz , 22-Июл-05 11:12 
У меня стоит Squid через него юзеры выходят в Интернет по расписанию, но нашлись злостные халявщики которые договариваются с владельцами безлимиток и ставят у них прокси сервера, выходят впоследствии как реальный юзер. Так вот надо бы закрыть доступ халявщикам, как это сделать? Вариант придти с Будиной или написать директору отпадает!

Содержание

Сообщения в этом обсуждении
"нашлись злостные халявщики которые договариваются с владельц..."
Отправлено DukeArtem , 22-Июл-05 11:32 
>У меня стоит Squid через него юзеры выходят в Интернет по расписанию,
>но нашлись злостные халявщики которые договариваются с владельцами безлимиток и ставят
>у них прокси сервера, выходят впоследствии как реальный юзер. Так вот
>надо бы закрыть доступ халявщикам, как это сделать? Вариант придти с
>Будиной или написать директору отпадает!
У меня есть догадка, но не уверен что она сработает, вот смотри если кто-то юзает твой сервер с помощью другого прокси, значит скорее всего у него стоит твой как родительский - тебе надо запретить через фаервол все запросы идущие от любого адреса с портом 3128 на твой прокси к порту 3128.

"нашлись злостные халявщики которые договариваются с владельц..."
Отправлено Biglz , 22-Июл-05 11:40 
>У меня есть догадка, но не уверен что она сработает, вот смотри
>если кто-то юзает твой сервер с помощью другого прокси, значит скорее
>всего у него стоит твой как родительский - тебе надо запретить
>через фаервол все запросы идущие от любого адреса с портом 3128
>на твой прокси к порту 3128.


Да это конечно вариант! Попробую! Но хочется что то понадежней и вычислить всех ВТО этим занимается что бы потом наказать!


"нашлись злостные халявщики которые договариваются с владельц..."
Отправлено DukeArtem , 22-Июл-05 11:56 
Да это конечно вариант! Попробую! Но хочется что то понадежней и вычислить
всех ВТО этим занимается что бы потом наказать!
Вычислить по моему мнению здесь можно только переодически сканируя сеть на наличия порта 3128 (один сканирует даже большую сеть очень быстро)
запусти какой-нибудь nmap поставь его в cron и скриптик который будет отделять все найденные адреса... (сложно?!пока больше ничего не предумал)
Удачи!



"нашлись злостные халявщики которые договариваются с владельц..."
Отправлено Junior , 22-Июл-05 13:52 
>Да это конечно вариант! Попробую! Но хочется что то понадежней и вычислить
>
>всех ВТО этим занимается что бы потом наказать!
>Вычислить по моему мнению здесь можно только переодически сканируя сеть на наличия
>порта 3128 (один сканирует даже большую сеть очень быстро)
>запусти какой-нибудь nmap поставь его в cron и скриптик который будет отделять
>все найденные адреса... (сложно?!пока больше ничего не предумал)
>Удачи!


Многоуважаемое сообщество забывает, что:

1. Сервер на клиентской машине может работать и слушать сеть на ЛЮБОМ порту.
2. Если сервер более-мение конфигурируемый, то может принимать запросы ТОЛЬКО от указанных в конфиге пользователей, адресов.
3. Соединение ОТ редиректора (пользовательского сервера) будут с ЛЮБОГО непривелигированного порта, а НЕ с того, на котором он слушает запросы.


Варианты решения (не обязательно помогут):

1. Настроить аутентификацию (большинство тупых редиректоров не работают с ней) на своём сервере.
2. Как было сказано - сканировать сеть для выявления всех аномальных хостов с подозрительно открытыми портами. Заносить их в список запретных. Предварительно так и объяснив пользователям что это за мероприятия и любое своё проявление "доброй воли" они могут сделать последним.
3. Слушать tcpdump-ом трафик, выяснить различие в заголовках пакетов. Соединение от "правильного" клиента к твоему серверу должно иметь отличие от перенаправляемого запроса. Резать коннект по этому признаку.
4. Выделить "безлимитных" пользователей в отдельную подсеть, настроить маршрутизацию. Более идеальный вариант установить активное сетевое оборудование на этом участке, для контроля подозрительного трафика.
5. Настроить DHCP+VPN.
6. Если удастся выделить "безлимитчиков" в отдельную подсеть, установить
на этот сегмент простейший марширутизатор на базе *nix, который будет отсеивать нелегальные запросы и соединения к "неправильным" портам.
7. Административные санкции.

Другие варианты на своё усмотрение.

Удачи.