Особая маркировка, fluxbox, 13-Мрт-09, 14:30 [смотреть все]Ребята помогите сделать такую вещь скажем есть две машины А и Б Нужно на машине Б как-то маркировать трафик который идет на машину А, а на машине А проверять есть ли маркирова, и если есть, пускать дальше в нет...Вот искал по доках что-то не нашел... вроде можно маркировать через DSCP? делал на машине Б iptables -t mangle -A OUTPUT -p tcp -j DSCP --set-dscp 1 но как проверять на машине А, пока что не пойму... Кто чем поможет? )
|
- Особая маркировка, Pahanivo, 15:59 , 13-Мрт-09 (1)
>[оверквотинг удален] > >Вот искал по доках что-то не нашел... вроде можно маркировать через DSCP? > > >делал на машине Б >iptables -t mangle -A OUTPUT -p tcp -j DSCP --set-dscp 1 > >но как проверять на машине А, пока что не пойму... > >Кто чем поможет? ) tcp/ip позволяет маркировать трафик?
- Особая маркировка, fluxbox, 18:04 , 13-Мрт-09 (2)
>tcp/ip позволяет маркировать трафик? понял... ) но всеравно проблема стоит, какими путями решать?
- Особая маркировка, Pahanivo, 18:59 , 13-Мрт-09 (3)
> >>tcp/ip позволяет маркировать трафик? > >понял... ) >но всеравно проблема стоит, какими путями решать? vlan?
- Особая маркировка, fkluxbox, 20:38 , 13-Мрт-09 (4)
>> >>>tcp/ip позволяет маркировать трафик? >> >>понял... ) >>но всеравно проблема стоит, какими путями решать? > >vlan? Ситуация така... "Б" это проксяк который через шлюз "А" виходит в нет... есть особоумные с админскими правами (так надо для работы) которые пробую менять свои айпишки на айпишку проксяка или на айпишку директора... соотвественно пробуют ходить в нет напрямую... вот и подумал если можно маркировать трафик от проксяка и пускать только маркированый дальше проблема бы решиалсь...
- Особая маркировка, angra, 14:26 , 14-Мрт-09 (7)
Для отловли смены ip/mac есть вещи типа arpwatch или ipsentinel. Две машины с одним ip или mac в одной сети в любом случае приводят к конфиликту и за такое надо очень больно наказывать. Ничто не мешает злоумышленикам точно также маркировать трафик по ToS. Если не хочется или нет возможности сделать vlan, то можно попробовать сделать ip-ip туннель или поднять vpn.
- Особая маркировка, Scrooge, 17:14 , 14-Мрт-09 (9)
>Ситуация така... "Б" это проксяк который через шлюз "А" виходит в нет... >есть особоумные с админскими правами (так надо для работы) которые пробую >менять свои айпишки на айпишку проксяка или на айпишку директора... соотвественно >пробуют ходить в нет напрямую... вот и подумал если можно маркировать >трафик от проксяка и пускать только маркированый дальше проблема бы решиалсь... >1) Докладная на имя директора... 2) Реструктуризация сети (достаточно промежуточного маршрутизатора), как следствие - прозрачный прокси в другом диапазоне... 3) управляемый свитч с привязкой маков по портам... Короче, вариантов больше более чем много...
- Особая маркировка, p0gank, 21:23 , 13-Мрт-09 (5)
Ну есть два решения. 1. Чисто административный, ловим вредителя и штрафуем его. 2. Технический, группу с административными правами в отдельный vlan и пускай резвятся.
- Особая маркировка, fkluxbox, 10:06 , 14-Мрт-09 (6)
>Ну есть два решения. >1. Чисто административный, ловим вредителя и штрафуем его. >2. Технический, группу с административными правами в отдельный vlan и пускай резвятся. >1. ну это само собой ) 2. для себя хотел бы уяснить... значит без vlan никак... Я вот подумал если на проксе маркировать через tos как поверять трафик на шлюзе? Ведь по умолчанию винда tos не юзает... значить можно таким путем пойти?
- Особая маркировка, p0gank, 14:33 , 14-Мрт-09 (8)
Гланды через задницу удалять тоже никто не мешает, но никто этого не делает. :-) А если пользователи умеют пользоваться wireshark'ом и научатся маркировать пакеты как прокси ? Пользователя с правами администратора надо всегда выделять в категорию особо опасных, ибо накосячить он сможет не только осознано.>Я вот подумал если на проксе маркировать через tos как поверять трафик >на шлюзе? >Ведь по умолчанию винда tos не юзает... значить можно таким путем пойти? >
- Особая маркировка, Arifolth, 00:18 , 20-Мрт-09 (10)
>Кто чем поможет? ) по существу - можете попробовать манипулировать значением поля TOS -j TOS --set-tos 0x10
|