无法控管的网络连接问题，没有好办法，请大家参谋~~(高手来！)

huhuegg

我想达到对网络内所有客户端上网的控管，最近意外发现个极大的漏洞~
现状：已经用squid+iptables控制上网主机，所有有权限mac和无权限mac已在iptables中作
      了限制，有web访问权限的每天计算流量，超 过一定量就限流为3k/s，无权限的一概拒
      绝访问

问题：有人在有web访问权限的主机上安装代理服务器让无权限的主机访问
web。(由于在服务器端的log或tcpdump均无法看出哪些主机私自使用内部代理<代理端口随机>;
在log纪录或数据包所有均显示是有web访问权限的主机的访问)。

下下之策：抓包时只能抓带有HTTP Continuation or non-HTTP traffic
               标志的访问IP，可是这一类包又包括了HTTP->;HTTPS, HTTP->;RTSP,HTTP->;MMS等.

哪位高人有办法？请指教~~
不要说什么抓到就处分类似毫无建设性的话，谢谢!

河里的鱼

这个好像还没有什么好的方法,你可以借鉴有的网通的方法

也可以来控制访问的并发连接数

authen

在内网主机安装进程监控端，未授权进程一律杀。

huhuegg

顶一下~

河里的鱼

不是说过了么,iptables里面做并发连接数

剑心通明

似乎只有控制并发连接数吧

huhuegg

控制并发连接数是一个折衷的解决方法，但是对于正常的用户也是有影响的。
在这里只是想大家共同讨论一下类似问题的解决方法~
我现在只能用ad+组策略禁止用户修改相关网络信息，但是对visual pc也是没有办法的。
实在不行我就只看每个交换机流量，不过这样就无法区分内部外部通信了~

另外还有http-tunnel，这让我们的管理更困难了

ccagg

作网管碰到这么叫板的用户也是头痛。说一句非技术的废话，安全管理单靠技术手段很难做到完满，还是要有一定的管理手段，通过高层制定一个安全策略，碰到这种情况，一经查出，一律就地正法！

platinum

1、管理是关键，就像楼上说的，一旦发现，严肃处理

2、通过阅读 RFC2616（http://www.faqs.org/rfcs/rfc2616.html）可得知，如果用的是 http 代理的话，绝对不会用 HTTP/1.1 去连，肯定是 HTTP/1.0，所以你可以用 l7filter 去拦截 HTTP/1.0

3、如果是 NAT 的话，可以有两种方式判断
3.1、通过 ttl 值
    数据包每经过一次路由，ttl 会 -1，如果某个数据包过来的 ttl 不是直连值，可以判断经过了一次路由，所以可断定为经过了 NAT

3.2、或者 seq number 来解决
    正如上面所说，限制并发连接数并不是一个好办法，因此只能通过判断 seq number 来解决。不同系统的 seq number 是不同的，Linux 是一个固定值，FreeBSD 是随机值，Windows 是随着时间不同随机变化，如果处理 seq number 就需要精通 TCP/IP 和网络编程了

huhuegg

无法通过ttl看到变化，不是64就是128

tethereal捕获信息如下(看不到http的版本号)：
0.718884 202.108.43.211 ->; 192.168.2.22  HTTP Continuation or non-HTTP traffic

tcpdump捕获的信息中无论是否正常用户发出的包均为http1.1，收到的包为http1.0

[b]那位高手能够说说l7-filter的安装使用方法吗？我看过好象要打好多补丁啊[/b]