论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2005-07-20 09:17 |只看该作者 |正序浏览

我想达到对网络内所有客户端上网的控管，最近意外发现个极大的漏洞~
现状：已经用squid+iptables控制上网主机，所有有权限mac和无权限mac已在iptables中作
   了限制，有web访问权限的每天计算流量，超过一定量就限流为3k/s，无权限的一概拒
   绝访问

问题：有人在有web访问权限的主机上安装代理服务器让无权限的主机访问
web。(由于在服务器端的log或tcpdump均无法看出哪些主机私自使用内部代理<代理端口随机>;
在log纪录或数据包所有均显示是有web访问权限的主机的访问)。

下下之策：抓包时只能抓带有HTTP Continuation or non-HTTP traffic
            标志的访问IP，可是这一类包又包括了HTTP->;HTTPS, HTTP->;RTSP,HTTP->;MMS等.

哪位高人有办法？请指教~~
不要说什么抓到就处分类似毫无建设性的话，谢谢!

文库|博客

ccagg

白手起家

论坛徽章:: 0

26楼 [报告]

发表于 2005-08-05 13:17 |只看该作者

无法控管的网络连接问题，没有好办法，请大家参谋~~(高手来！)

vlan可以互访吧？

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

huhuegg

稍有积蓄

论坛徽章:: 0

25楼 [报告]

发表于 2005-08-03 18:52 |只看该作者

无法控管的网络连接问题，没有好办法，请大家参谋~~(高手来！)

除非让可以上网和不可以上网的在不同vlan,
这样的话导致用户无法互访,
所以才说是个头痛的问题~

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

huhuegg

稍有积蓄

论坛徽章:: 0

24楼 [报告]

发表于 2005-08-03 18:50 |只看该作者

无法控管的网络连接问题，没有好办法，请大家参谋~~(高手来！)

原帖由 "saman" 发表：
你可以测试一下，经过代理的数据包和不不经过代理的数据包的ttl值肯定是不一样的，再使用iptables对非正常的ttl进行过滤。如果他们更改默认的ttl值的话，那就……
iptables -A FORWARD -s 192.168.1.0/24 -m ttl --..........

老兄~
看前面的帖子，我有说明ttl不便及原因

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

archangle

家境小康

论坛徽章:: 0

23楼 [报告]

发表于 2005-08-03 11:29 |只看该作者

无法控管的网络连接问题，没有好办法，请大家参谋~~(高手来！)

把不能上网的用户的能上网的在网络上给分开

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

saman

稍有积蓄

论坛徽章:: 0

22楼 [报告]

发表于 2005-08-03 11:20 |只看该作者

无法控管的网络连接问题，没有好办法，请大家参谋~~(高手来！)

你可以测试一下，经过代理的数据包和不不经过代理的数据包的ttl值肯定是不一样的，再使用iptables对非正常的ttl进行过滤。如果他们更改默认的ttl值的话，那就……
iptables -A FORWARD -s 192.168.1.0/24 -m ttl --ttl 127 -j DROP

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

huhuegg

稍有积蓄

论坛徽章:: 0

21楼 [报告]

发表于 2005-08-03 09:24 |只看该作者

无法控管的网络连接问题，没有好办法，请大家参谋~~(高手来！)

限制80的目的在于防止http-tunnel和通过http传文件等等~~
有效的管理是我们所要探讨的问题，并非说一定要限制，只有在确实必要的情况下才使用

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

apen

小富即安

论坛徽章:: 6

20楼 [报告]

发表于 2005-08-02 20:20 |只看该作者

无法控管的网络连接问题，没有好办法，请大家参谋~~(高手来！)

如果你连工作站都不能进行有效管理的话，想做好网络管理基本上是不可能的！要想管好，就不要怕别人叫，否则就放水，什么都不要管！所有的人都不能用的时候，就是你可以全盘进行管理的开始！

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

saman

稍有积蓄

论坛徽章:: 0

19楼 [报告]

发表于 2005-08-02 18:38 |只看该作者

无法控管的网络连接问题，没有好办法，请大家参谋~~(高手来！)

首先我想请教一个问题，为什么你们要对web访问做限制呢？（如果是为了安全那就当我没问）现在web已经慢慢融入我们的生活了，具体的例子我想就不用说了吧。包括现在很多公司限制qq、msn聊天，我都觉得非常不人性，qq等就像我们的电话、手机一样，只是一个通讯工具而已，为什么不能使用？当然，作为老板会说出许许多多不让使用qq的原因，归根结底就是担心影响工作，但如果这个公司的工作氛围特别好，又有谁会在上班时间去做那些无畏的聊天呢？作为一个技术人员，我们拿着老板的工资，按照老板的意思干活无可厚非，但我们是不是也可以给老板一些建议呢？