The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Борьба с пакетами из замаскированных подсетей"
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы Информационная безопасность (Public)
Изначальное сообщение [Проследить за развитием треда]

"Борьба с пакетами из замаскированных подсетей"
Сообщение от Dimax emailИскать по авторуВ закладки on 26-Сен-03, 13:51  (MSK)
   Роутер с ррр0 дает унлимит инет на eth1 (192.168.1.1), там сидит чуваш (192.168.1.11) и еще пара нормальных парней, для них настроен маскардинг. Допустим я привязал MAC к IP и проверяю на соотвествие. Чуваш стави прокси или маскардинг (NAT) и подключает к себе подсеть так скажем человек на 5.
   Теоретически, при маскировке пакет обернется и будет иметь ip и mac чуваша, но также я понимаю, что должна быть и отметка о наличии обертки или это не так?
   Меня беспокоит то, что я расчитываю трафик на легитивных клиентов, а на практике +5 засирают его.
   Как блокировать на eth1 пакеты пришедшие из под чуваша?
  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "Борьба с пакетами из замаскированных подсетей"
Сообщение от rtzra Искать по авторуВ закладки on 30-Сен-03, 05:32  (MSK)
Данная проблема обсуждалась в данном форуме. Вкратце: нужно анализировать TOS, однако, существуют довольно простые способы обойти данную проверку.
Вывод: не майся дурью, будь проще - вмонтируй в ядро шейпер (HTB или CBQ, что понравится) и ограничь этому чувашу траффик скажем на 10Кбит. Те пятеро из его подсети взвоют, чувашу урок будет, тебе же - спокойствие и лишние знания.
  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Борьба с пакетами из замаскированных подсетей"
Сообщение от Dimax emailИскать по авторуВ закладки on 30-Сен-03, 12:53  (MSK)
Сенкс rtzra.

  В вопросах администрирования серьезных сетей я слабоват, и тоже склонен к простым решениям, СBQ я уже прикрутил.
  В плане корректной настройки, понимаю надо сделать: вход в сеть по лог. и пас., привязать мас к ip и проверять arpwach-ем, форвард и маскардинг на роутере, и нарезать трафик?
  Возник ворпрос1, если будет рост сети на eth1, так скажем до 50 человек, (а предпосылки уже умеються), как с нагрузкой на Роутере?
  Вопрос2, можно ли в CBQ разделять незадействоанные каналы на активных клиентов и отбирать при входе в сеть хозяев этих каналов?

  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру