 Особая маркировка,  fluxbox, 13-Мрт-09, 14:30 [смотреть все]Ребята помогите сделать такую вещь скажем есть две машины А и Б
Нужно на машине Б как-то маркировать трафик который идет на машину А,
а на машине А проверять есть ли маркирова, и если есть, пускать дальше в нет...Вот искал по доках что-то не нашел... вроде можно маркировать через DSCP? делал на машине Б
iptables -t mangle -A OUTPUT -p tcp -j DSCP --set-dscp 1 но как проверять на машине А, пока что не пойму... Кто чем поможет? )
|
- Особая маркировка, Pahanivo, 15:59 , 13-Мрт-09 (1)
>[оверквотинг удален]
>
>Вот искал по доках что-то не нашел... вроде можно маркировать через DSCP?
>
>
>делал на машине Б
>iptables -t mangle -A OUTPUT -p tcp -j DSCP --set-dscp 1
>
>но как проверять на машине А, пока что не пойму...
>
>Кто чем поможет? ) tcp/ip позволяет маркировать трафик?
- Особая маркировка, fluxbox, 18:04 , 13-Мрт-09 (2)
>tcp/ip позволяет маркировать трафик? понял... )
но всеравно проблема стоит, какими путями решать?
- Особая маркировка, Pahanivo, 18:59 , 13-Мрт-09 (3)
>
>>tcp/ip позволяет маркировать трафик?
>
>понял... )
>но всеравно проблема стоит, какими путями решать? vlan?
- Особая маркировка, fkluxbox, 20:38 , 13-Мрт-09 (4)
>>
>>>tcp/ip позволяет маркировать трафик?
>>
>>понял... )
>>но всеравно проблема стоит, какими путями решать?
>
>vlan? Ситуация така... "Б" это проксяк который через шлюз "А" виходит в нет... есть особоумные с админскими правами (так надо для работы) которые пробую менять свои айпишки на айпишку проксяка или на айпишку директора... соотвественно пробуют ходить в нет напрямую... вот и подумал если можно маркировать трафик от проксяка и пускать только маркированый дальше проблема бы решиалсь...
- Особая маркировка, angra, 14:26 , 14-Мрт-09 (7)
Для отловли смены ip/mac есть вещи типа arpwatch или ipsentinel. Две машины с одним ip или mac в одной сети в любом случае приводят к конфиликту и за такое надо очень больно наказывать.
Ничто не мешает злоумышленикам точно также маркировать трафик по ToS.
Если не хочется или нет возможности сделать vlan, то можно попробовать сделать ip-ip туннель или поднять vpn.
- Особая маркировка, Scrooge, 17:14 , 14-Мрт-09 (9)
>Ситуация така... "Б" это проксяк который через шлюз "А" виходит в нет...
>есть особоумные с админскими правами (так надо для работы) которые пробую
>менять свои айпишки на айпишку проксяка или на айпишку директора... соотвественно
>пробуют ходить в нет напрямую... вот и подумал если можно маркировать
>трафик от проксяка и пускать только маркированый дальше проблема бы решиалсь...
>1) Докладная на имя директора...
2) Реструктуризация сети (достаточно промежуточного маршрутизатора), как следствие - прозрачный прокси в другом диапазоне...
3) управляемый свитч с привязкой маков по портам...
Короче, вариантов больше более чем много...
- Особая маркировка, p0gank, 21:23 , 13-Мрт-09 (5)
Ну есть два решения.
1. Чисто административный, ловим вредителя и штрафуем его.
2. Технический, группу с административными правами в отдельный vlan и пускай резвятся.
- Особая маркировка, fkluxbox, 10:06 , 14-Мрт-09 (6)
>Ну есть два решения.
>1. Чисто административный, ловим вредителя и штрафуем его.
>2. Технический, группу с административными правами в отдельный vlan и пускай резвятся.
>1. ну это само собой )
2. для себя хотел бы уяснить... значит без vlan никак... Я вот подумал если на проксе маркировать через tos как поверять трафик на шлюзе?
Ведь по умолчанию винда tos не юзает... значить можно таким путем пойти?
- Особая маркировка, p0gank, 14:33 , 14-Мрт-09 (8)
Гланды через задницу удалять тоже никто не мешает, но никто этого не делает. :-) А если пользователи умеют пользоваться wireshark'ом и научатся маркировать пакеты как прокси ? Пользователя с правами администратора надо всегда выделять в категорию особо опасных, ибо накосячить он сможет не только осознано.>Я вот подумал если на проксе маркировать через tos как поверять трафик
>на шлюзе?
>Ведь по умолчанию винда tos не юзает... значить можно таким путем пойти?
>
- Особая маркировка, Arifolth, 00:18 , 20-Мрт-09 (10)
>Кто чем поможет? ) по существу - можете попробовать манипулировать значением поля TOS
-j TOS --set-tos 0x10
|
Версия для распечатки
