форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"как не допустить прокси второго уровня у себя в сети"
Сообщение от DOE666 (ok) on 08-Ноя-04, 15:28  (MSK)
У меня в сети народу инет раздается через VPN (pptp). все  юзеры сидят  на NATом. С вводом безлимитных тарифов столкнулся с такой проблемой: какой-нить "безлимитчик"  в сетке    ставит у себя  винпрокси или вингейт  и пускает через себя в инет других людей.    А по договору это делать у нас запрещено....сижу и ломаю голову. вот сейчас, например, вижу в аське  человека, у которого  заблокирован доступ  в инет и 100% он к кому-то "присосался".  а поделать ничего не могу. на роутере  отснифить невозможно (а если можно, то крайне трудно, и то, только зная, что в инете сейчас делает  злоумышленник). p.s. сеть вся на простых ( глупых) свичах. помогите люди добрые  каким-нибудь советом
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "как не допустить прокси второго уровня у себя в сети"
Сообщение от denn (??) on 08-Ноя-04, 16:16  (MSK)
анализируй трафик мртг сарг и так можно будет вычислить нарушителя. потом отключи его раз и на всегда.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "как не допустить прокси второго уровня у себя в сети"
	Сообщение от DOE666 (ok) on 08-Ноя-04, 17:16  (MSK)
	>анализируй трафик >мртг >сарг >и так можно будет вычислить нарушителя. >потом отключи его раз и на всегда. сарг юзал. он показыват только  кто когда и какие сайты посетил. как  тут можно определить  - это хозяин аккаунта или "присоска" :) ? мртг   не пользовался, ничего сказать не могу
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "как не допустить прокси второго уровня у себя в сети"
	Сообщение от denn (??) on 08-Ноя-04, 17:26  (MSK)
	>сарг юзал. он показыват только  кто когда и какие сайты посетил. >как  тут можно определить  - это хозяин аккаунта или >"присоска" :) ? так видно что кто-то (предполагаемый нарушитель) уж черезмерно ходит, а кто-то (присоска) практически не ходит, а довольный > > >мртг   не пользовался, ничего сказать не могу
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "как не допустить прокси второго уровня у себя в сети"
	Сообщение от DOE666 (ok) on 08-Ноя-04, 22:27  (MSK)
	>>сарг юзал. он показыват только  кто когда и какие сайты посетил. >>как  тут можно определить  - это хозяин аккаунта или >>"присоска" :) ? > >так видно что кто-то (предполагаемый нарушитель) уж черезмерно ходит, а кто-то (присоска) >практически не ходит, а довольный можно конечно, но это весьма  громоздко.. к тому  же  у нас в сети есть люди,которые  инет и так мало юзают...   если они начнут качать гигами, то я это не замечу
		Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "как не допустить прокси второго уровня у себя в сети"
Сообщение от Vakero (??) on 08-Ноя-04, 17:02  (MSK)
>У меня в сети народу инет раздается через VPN (pptp). все   >юзеры сидят  на NATом. С вводом безлимитных тарифов столкнулся с >такой проблемой: какой-нить "безлимитчик"  в сетке    ставит >у себя  винпрокси или вингейт  и пускает через себя >в инет других людей.    А по договору это >делать у нас запрещено....сижу и ломаю голову. > >вот сейчас, например, вижу в аське  человека, у которого  заблокирован >доступ  в инет и 100% он к кому-то "присосался".   >а поделать ничего не могу. на роутере  отснифить невозможно (а >если можно, то крайне трудно, и то, только зная, что в >инете сейчас делает  злоумышленник). > >p.s. сеть вся на простых ( глупых) свичах. > > >помогите люди добрые  каким-нибудь советом Может просто подойти к машине, где доступ запрещен и посмотреть чего у него в проксях в нете прописано? ))) Это для конкретного случая. А для общего - полиси надо использовать на права инсталляции продуктов, полиси! Возможно ли удаленное администрирование? Инвентаризация установленного софта?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "как не допустить прокси второго уровня у себя в сети"
	Сообщение от DOE666 (ok) on 08-Ноя-04, 17:14  (MSK)
	>> >> >>помогите люди добрые  каким-нибудь советом > > >Может просто подойти к машине, где доступ запрещен и посмотреть чего у >него в проксях в нете прописано? ))) Это для конкретного случая. >А для общего - полиси надо использовать на права инсталляции продуктов, >полиси! >Возможно ли удаленное администрирование? Инвентаризация установленного софта? нет , доступа  к клиентским машинам нет  и не может  быть.  это  "домашняя  сетка"
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "как не допустить прокси второго уровня у себя в сети"
	Сообщение от Vakero (??) on 08-Ноя-04, 17:33  (MSK)
	>>> >>> >>>помогите люди добрые  каким-нибудь советом >> >> >>Может просто подойти к машине, где доступ запрещен и посмотреть чего у >>него в проксях в нете прописано? ))) Это для конкретного случая. >>А для общего - полиси надо использовать на права инсталляции продуктов, >>полиси! >>Возможно ли удаленное администрирование? Инвентаризация установленного софта? > > >нет , доступа  к клиентским машинам нет  и не может > быть.  это  "домашняя  сетка" А в асе тоже не видно IP прокси? Вообще, когда-то этот вопрос уже обсуждался здесь - тогда пришли к выводу, что сделать что-либо невозможно с нарушителем, найдет возможность у другого "сосать" проксю. Реально лишь можно ставить умные свичи и блокировать порты на конкретных подключениях.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "как не допустить прокси второго уровня у себя в сети"
	Сообщение от DOE666 (ok) on 08-Ноя-04, 22:34  (MSK)
	>А в асе тоже не видно IP прокси? видно тока  ip  основного роутера о.. токачто пришла в голову мсль - поставить миранду .. она показывает внутренний  ip   но нельзя же  иметь у себя в контакте   всех  юзеров  из сети :((( >Вообще, когда-то этот вопрос уже обсуждался здесь - тогда пришли к выводу, >что сделать что-либо невозможно с нарушителем, найдет возможность у другого "сосать" >проксю. Реально лишь можно ставить умные свичи и блокировать порты на >конкретных подключениях. :(((( винпрокси можно на  любом порту запустить :((
		Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "как не допустить прокси второго уровня у себя в сети"
Сообщение от ra (??) on 08-Ноя-04, 17:41  (MSK)
Маленький встречный вопрос: а зачем это надо? Они бабки за отсосанное платят? Ну и какая разница кто насосал? ИМХО, такие правила - просто глупость. ЗЫ: еще можно анализировать TTL в iptables - поищи тут народ уже осуждал эту тему (плюс еще форум www.linux.org.ru)
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "как не допустить прокси второго уровня у себя в сети"
	Сообщение от Vakero (??) on 08-Ноя-04, 17:48  (MSK)
	>Маленький встречный вопрос: а зачем это надо? Они бабки за отсосанное платят? >Ну и какая разница кто насосал? ИМХО, такие правила - просто >глупость. >ЗЫ: еще можно анализировать TTL в iptables - поищи тут народ уже >осуждал эту тему (плюс еще форум www.linux.org.ru) Там написано - анлимит. По ходу у меня возникает подозрение, что несколько чуваков скинулись баблом на один пакет и с него "сосут" через вторую проксю каждый. А вообще - можно их физически отключать от домашней сети при отсутствии договора?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	11. "как не допустить прокси второго уровня у себя в сети"
	Сообщение от DOE666 (ok) on 08-Ноя-04, 22:32  (MSK)
	> >По ходу у меня возникает подозрение, что несколько чуваков скинулись баблом на >один пакет и с него "сосут" через вторую проксю каждый. > именно >А вообще - можно их физически отключать от домашней сети при отсутствии >договора? если нет договора - можно конечно :)  никто никому ничем не обязан.  тут  только   моральный  фактор действует..  отключенный  может  какую-нить пакость учинить   или  типа того
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	21. "как не допустить прокси второго уровня у себя в сети"
	Сообщение от Vakero (??) on 09-Ноя-04, 10:03  (MSK)
	> >> >>По ходу у меня возникает подозрение, что несколько чуваков скинулись баблом на >>один пакет и с него "сосут" через вторую проксю каждый. >> > >именно > >>А вообще - можно их физически отключать от домашней сети при отсутствии >>договора? > >если нет договора - можно конечно :)  никто никому ничем не >обязан.  тут  только   моральный  фактор действует.. > отключенный  может  какую-нить пакость учинить   или > типа того Ну так и отключайте! В таком бизнесе, где каждый хочет поиметь друг друга о морали надо забыть. А будут пакостить - на это есть уже другие законодательные акты.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	13. "как не допустить прокси второго уровня у себя в сети"
	Сообщение от FiNik (??) on 08-Ноя-04, 23:18  (MSK)
	>По ходу у меня возникает подозрение, что несколько чуваков скинулись баблом на >один пакет и с него "сосут" через вторую проксю каждый. > >А вообще - можно их физически отключать от домашней сети при отсутствии >договора? а зачем, если это анлим, то ты должен скорость ограничить на этот акаунт, если ты скорость можешь ограничить, то должен быть расчет как не оказатся в минусе с выдаваемой скоростью/ценой на клиента, а там пусть качают...  в среднем, если расчет правильный, ты  в плюсе:)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	14. "как не допустить прокси второго уровня у себя в сети"
	Сообщение от DOE666 (ok) on 09-Ноя-04, 00:51  (MSK)
	>>По ходу у меня возникает подозрение, что несколько чуваков скинулись баблом на >>один пакет и с него "сосут" через вторую проксю каждый. >> >>А вообще - можно их физически отключать от домашней сети при отсутствии >>договора? >а зачем, если это анлим, то ты должен скорость ограничить на этот >акаунт, если ты скорость можешь ограничить, то должен быть расчет как >не оказатся в минусе с выдаваемой скоростью/ценой на клиента, а там >пусть качают...  в среднем, если расчет правильный, ты  в >плюсе:) ну, причем тут это :( вопрос совсем в другом + ты не прав
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "как не допустить прокси второго уровня у себя в сети"
	Сообщение от DOE666 (ok) on 08-Ноя-04, 22:30  (MSK)
	>Маленький встречный вопрос: а зачем это надо? Они бабки за отсосанное платят? >Ну и какая разница кто насосал? ИМХО, такие правила - просто >глупость. >ЗЫ: еще можно анализировать TTL в iptables - поищи тут народ уже >осуждал эту тему (плюс еще форум www.linux.org.ru) а вот и не глупость.. в сети  сотни человек..  все покупают  трафик помегабайтно,  а пару десятков  - безлимитку.  уверен  на 100% что  на  безлимитчиков  будут садиться "присоски"
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	15. "как не допустить прокси второго уровня у себя в сети"
	Сообщение от Sampan on 09-Ноя-04, 02:04  (MSK)
	Бесполезная затея. Если стоит прокси и он себя не афиширует (типа "forwarded for:" в HTTP заголовках) не существует способа отличить локальную сессию от сессии через прокси. Увы, такова природа проксей - он все сессии делает локальными. И TTL тут не поможет. И ограничение параллельных открытых сессий. Да, и ни что не поможет. Меняй бизнес модель. Приспосабливайся к реалиям. Кто не смог - не выживает.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	16. "как не допустить прокси второго уровня у себя в сети"
	Сообщение от DOE666 (ok) on 09-Ноя-04, 02:51  (MSK)
	>Бесполезная затея. >Если стоит прокси и он себя не афиширует (типа "forwarded for:" в >HTTP заголовках) не существует способа отличить локальную сессию от сессии через >прокси. Увы, такова природа проксей - он все сессии делает локальными. >И TTL тут не поможет. И ограничение параллельных открытых сессий. Да, >и ни что не поможет. > >Меняй бизнес модель. Приспосабливайся к реалиям. Кто не смог - не выживает. > совсем недавно пришла в голову мысль! если просканировать сканером  юзверей, то те, у кого стоит прокся ( простая, виндовая)  открыты как правило  порты UDP 53, 67 и несколько характерных  TCP-шных  портов.   вычислил таки  образом  пяток  грамотеев   с  вингейтами :) но это все до поры до времни, пока юзвери не  научатся так настраивать прокси, что   со стороны  не видно будет
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	17. "как не допустить прокси второго уровня у себя в сети"
	Сообщение от Sampan on 09-Ноя-04, 03:21  (MSK)
	>совсем недавно пришла в голову мысль! >если просканировать сканером  юзверей, то те, у кого стоит прокся ( >простая, виндовая)  открыты как правило  порты UDP 53, 67 >и несколько характерных  TCP-шных  портов.   вычислил таки > образом  пяток  грамотеев   с  вингейтами >:) А, ежели, они терминальный сервер на безлимитный канал подключат? Что делать будешь? Десяток юзеров с ОДНОЙ машины одновременно качают из интернета. Это запрещено договором? Да и способов отследить не существует. Например, я бы закрыл порт 3389 совсем, а доступ завернул через stunnel на произвольный порт. Найди и докажи!
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	18. "как не допустить прокси второго уровня у себя в сети"
	Сообщение от MoHaX (ok) on 09-Ноя-04, 05:00  (MSK)
	Не, тут по ходу тока один выход, как было сказано выше - умные свитчи. У d-link видел готовые решения на этот случай, свитч где все дырки друг от друга изолированы и общаться могут тока с одной.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	19. "как не допустить прокси второго уровня у себя в сети"
	Сообщение от DOE666 (ok) on 09-Ноя-04, 09:54  (MSK)
	>Не, тут по ходу тока один выход, как было сказано выше - >умные свитчи. У d-link видел готовые решения на этот случай, свитч >где все дырки друг от друга изолированы и общаться могут тока >с одной. для компьютерной сети,  где  есть еще и локальный трафик  это не совсем подходит
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	20. "как не допустить прокси второго уровня у себя в сети"
	Сообщение от DOE666 (ok) on 09-Ноя-04, 09:55  (MSK)
	>Десяток юзеров с ОДНОЙ машины одновременно качают из интернета. Это запрещено >договором? Да и способов отследить не существует. Например, я бы закрыл >порт 3389 совсем, а доступ завернул через stunnel на произвольный порт. >Найди и докажи! я еще режу скорость.. поэтому  много не поцепятся  на одного  безлимитчика.. слишком уж тормозить  буит
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	22. "как не допустить прокси второго уровня у себя в сети"
	Сообщение от HeBe3yXa (ok) on 09-Ноя-04, 11:47  (MSK)
	У нас в сетке цена анлима от скорости порта зависит. Самый дешевый 33Кбит/с - тут особо не присосешься. А если побыстрее порт, скажем, 128К, так оно по деньгам так на так выходит, так что на такое мы сквозь пальцы смотрим, даже помогаем настроить, если 3-5 челов на быстрый анлим скинулись. Это все равно, что в клуб какой-нить нет продавать. Пусть себе качают. Платили б помегово - юзали б меньше - наш доход меньше, проверено уже. Но мы, правда, покупаем трафик не помегово, за фиксированную цену. Еще один вариант (если есть возможность такая) анлимитчикам давать канал, скажем, от спутника (там вообще трафик - халява полная, правда и комфорт не тот) а остальным - наземку. Я вот тут с другой подобной проблемой столкнулся. Некоторые умники подключаются одновременно к двум сеткам, ставят проксю и продают по _нашей_ сетке трафик _конкурентов_ :((( Вот с таким бы как побороться?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	23. "как не допустить прокси второго уровня у себя в сети"
	Сообщение от Chris (??) on 09-Ноя-04, 12:18  (MSK)
	выход то неахти... сетки с маской /30 и nmap на всех юзверей, если обнаружил порт он и попробует что на нём... а там парсить логи и решать...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	24. "как не допустить прокси второго уровня у себя в сети"
	Сообщение от HeBe3yXa (ok) on 09-Ноя-04, 12:40  (MSK)
	>выход то неахти... сетки с маской /30 и nmap на всех юзверей, >если обнаружил порт он и попробует что на нём... а там >парсить логи и решать... ... мдя... запарситься, тьфу блин, запариться можно, ежели юзверей за 4 сотни :(( не на одну ночь работы :((... Да сетки/30 тоже гемор... все ж хотят в одной локалке быть...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

25. "как не допустить прокси второго уровня у себя в сети"
Сообщение от dukie (ok) on 09-Ноя-04, 13:54  (MSK)
А можно например порезать число одновременно открытых соединений с одного безлимитного узла. Ну там типа 10-20 одновременно открытых и прописать это в договоре. Для одного пользователя достаточно - а как только несколько полезут одновременно - у них все будет отваливаться - сами расхотят пользоваться.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	27. "как не допустить прокси второго уровня у себя в сети"
	Сообщение от Sampan on 09-Ноя-04, 15:00  (MSK)
	>А можно например порезать число одновременно открытых соединений с одного безлимитного узла. >Ну там типа 10-20 одновременно открытых и прописать это в договоре. Замечательный рецепт потерять всех клиентов. Среди прочих реалий нашего рынка ("продвинутость" юзеров; любовь нашего народа, доходящая до страсти, к халяве и т.п.) есть "Стрим"! У меня в домовой ethernet сети "умники" так и сделали, ограничили для всех число параллельных сессий. Добились только одного - у большинства теперь стоит "Стрим". Аминь!
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	28. "как не допустить прокси второго уровня у себя в сети"
	Сообщение от dukie (ok) on 09-Ноя-04, 15:10  (MSK)
	1) Речь идет именно о безлимитных клиентах. Если они будут честно работать в одиночку на своем анлиме - проблем у них не будет. 2) Вы наверно удивитесь - но не все люди в мире живут в Москве :)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	29. "как не допустить прокси второго уровня у себя в сети"
	Сообщение от Sampan on 09-Ноя-04, 16:23  (MSK)
	>1) Речь идет именно о безлимитных клиентах. Если они будут честно работать >в одиночку на своем анлиме - проблем у них не будет. Для справки: Opera открывает 24 сессии на одной странице. На каком основании Вы хотите меня (честного клиента) ограничить? >2) Вы наверно удивитесь - но не все люди в мире живут >в Москве :) Согласен. Но, все равно, рано или поздно, все придет к неограниченному нетарифицированному каналу.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

26. "как не допустить прокси второго уровня у себя в сети"
Сообщение от Пользователь сетки on 09-Ноя-04, 14:50  (MSK)
>С вводом безлимитных тарифов столкнулся с >такой проблемой: какой-нить "безлимитчик" в сетке ставит >у себя  винпрокси или вингейт  и пускает через себя >в инет других людей. А по договору это >делать у нас запрещено.... Меняйте договор. В нашей давно на такое закрыли глаза. У меня дома вай-фай стоит из настольного компа на два ноутбука (мой + жены). Сьесть траффика больше того, что даете, я все равно не смогу. А три договора я заключать не буду. Так что не жадничайте, все равно канал обрезанный.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	30. "как не допустить прокси второго уровня у себя в сети"
	Сообщение от Beginner (??) on 09-Ноя-04, 22:59  (MSK)
	>>С вводом безлимитных тарифов столкнулся с >>такой проблемой: какой-нить "безлимитчик" в сетке ставит >>у себя  винпрокси или вингейт  и пускает через себя >>в инет других людей. А по договору это >>делать у нас запрещено.... > >Меняйте договор. >В нашей давно на такое закрыли глаза. > >У меня дома вай-фай стоит из настольного компа на два ноутбука (мой >+ жены). > >Сьесть траффика больше того, что даете, я все равно не смогу. >А три договора я заключать не буду. Так что не жадничайте, все >равно канал обрезанный. Вот именно! Иначе как экономически с этим бороться нельзя. Есть варианты, но геморные до безобразия. Например посадить каждого клиента в отдельный VLAN, как ни крити, а клиенты друг друга видеть не будут! Если ты им не поможешь, есно.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	31. "как не допустить прокси второго уровня у себя в сети"
	Сообщение от Grayich (??) on 22-Дек-04, 22:29  (MSK)
	столкнулся с примерно такойже проблеммой, но мне достаточно вычислить только таковых.. Какие есть варианты вычисления рабочих проксей в сети ? Ведь щас мини проксей(НАТов) развелось тонны.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.