Автор Гілка: Локальний проксі (Прочитано 2148 раз)

lilo · « : 2006-08-23 12:44:30 »

Є локальна мережа, машина під фрібсд 5.3 з виходом в інет через проксі. Як налаштувати
систему, щоб можно було через неї виходити в світ машині, котра не має на це дозволу.
(може NATD ?) Бажано, щоб сисадмін про це не підозрював. Дякую за допомогу.

old · « **Відповідей #1 :** 2006-08-23 13:41:58 »

якщо є рутові права права на тій Фрішці, то найпростіше таки НАТ. Хоча якщо обидві машини і проксі сервер в одній мережі, можливо тре буде трохи повозитись з його налаштуванням. МОжна підняти свій проксі. Чи дізнається адмін? Рано чи пізно дізнається

Smith · « **Відповідей #2 :** 2006-08-23 15:29:13 »

не зовсім зрозумів твоє питання, але щоб адміну було важче дізнатися про твої хитрощі, не треба забувати за ttl, завдяки якому можно дуже швидко зрозуміти ща тут щось не так. модіфікувати поле ttl'у можна iptables'ом.

Praporshic · « **Відповідей #3 :** 2006-08-23 16:59:00 »

Цитата: Smith від 2006-08-23 15:29:13

не зовсім зрозумів твоє питання, але щоб адміну було важче дізнатися про твої хитрощі, не треба забувати за ttl, завдяки якому можно дуже швидко зрозуміти ща тут щось не так.

Зміна ttl справді може допомогти, але я б помітив це за іншими ознаками. Як то збільшення трафіка з якоїсь з машин.

Цитата: Smith від 2006-08-23 15:29:13

модіфікувати поле ttl'у можна iptables'ом.

Неможна. Чому - уважніше читайте запитання

borman · « **Відповідей #4 :** 2006-08-23 17:34:10 »

Як я зрозумів, машина під FreeBSD (a.b.c.d) має дозвіл на вихід в інтернет через проксі-сервер (k.l.m.n, порт 3128), а хочеться, щоб такий дозвіл отримала ще й інша машина (w.x.y.z), яка такого дозволу не має. В такому випадку все просто. Достатньо виконати команду на w.x.y.z:

Код: [Вибрати]

ssh -L 3128:k.l.m.n:3128 user@a.b.c.dПросто зареєструватися на фряшній машині і вказати в налаштуваннях веб-переглядача проксі 127.0.0.1:3128.

І де ви бачили адміна, котрий перевіряє в пакетах ttl?!

Praporshic · « **Відповідей #5 :** 2006-08-23 19:11:08 »

Цитата: borman від 2006-08-23 17:34:10

І де ви бачили адміна, котрий перевіряє в пакетах ttl?!

Інколи зустрічаються такі експонати. Майже музейні.
Щойно перевірів, iptraf ttl не показує, але за потоками трафіка в мережі можна здогадатись що десь собака порився...

miwa · « **Відповідей #6 :** 2006-08-24 15:10:30 »

Проблема вирахування стороннього трафіку напрямУ залежить від кваліфікації і бажання (читай "параної") адміністратора.

TTL показує tcpdump -v ;o)

Smith · « **Відповідей #7 :** 2006-08-25 11:13:54 »

Цитата: Сергій Єгоров від 2006-08-23 19:11:08

Інколи зустрічаються такі експонати. Майже музейні.
Щойно перевірів, iptraf ttl не показує, але за потоками трафіка в мережі можна здогадатись що десь собака порився...

Можливо я і музейний експонат, але мені цікаво чим ти обгрунтуешь користувачу свою думку що він не правий, скажешь:"Ти знаешь, а у тебе трафік сбільшився. І я вирішив що через тебе ходить іще хтось... " имхо - це смішно. Незважаючи на те, що адмін завжди прав

всеж-таки треба технічно обгрунтувати свою думку.
У Харкові є один провайдер, і він не малий, так ось вони фільтрують за ттлом, якщо він менше чим потрібно, то пакети дропаються

Можливо я не правий. Скажіть меня тоді іще які-небудь способи як знайти порушника, який через себе, з яких-небудь причин, пропускає трафік без відома адміна.

ps: вибачайте за поганий український

lilo · « **Відповідей #8 :** 2006-08-28 09:25:24 »

Деякі доповнення до питання. Машина, котрій потрібен інет, працює під він2к.
Проксі, фрібсд та він2к розташовані в різних підсітках.
Подобається варіант від bormana :ssh -L 3128:k.l.m.n:3128 user@a.b.c.d,
у такому випадку ттл мабудь буде той що потрібен, але чи можуть співпрацювати
по ssh він2к та фрібсд?
До Сергія Єгорова: чому не можна змінити поле ттл iptables'ом?

borman · « **Відповідей #9 :** 2006-08-28 09:32:38 »

Змінити ttl на нормальний -- справа одного рядка в налаштуваннях iptables, тому відслідковування порушників тільки за цією ознакою є явно недостатнім. Потрібно аналізувати вміст межеревих пакетів, що, вочевидь, є ще більшою параноєю. Наприклад, шукати "сліди", які залишають веб-переглядачі в заголовках при формуванні запитів до сайтів.

А взагалі -- чогось не розумію: якщо така ситуація має місце на роботі, то адміністратор повинен бути хазяїном мережі на усіх рівнях і мати доступ до будь-якої машини, а отже процес виявлення порушника спрощується до мінімуму, а якщо за трафік платять, то в чому тоді взагалі проблема?! Зав'язуйте з параноєю, шановний

borman · « **Відповідей #10 :** 2006-08-28 09:40:13 »

Цитата: lilo від 2006-08-28 09:25:24

Деякі доповнення до питання. Машина, котрій потрібен інет, працює під він2к.
Проксі, фрібсд та він2к розташовані в різних підсітках.
Подобається варіант від bormana :ssh -L 3128:k.l.m.n:3128 user@a.b.c.d,
у такому випадку ттл мабудь буде той що потрібен, але чи можуть співпрацювати
по ssh він2к та фрібсд?

Скористайтесь PuTTY. Пошукайте пункт меню під назвою tunnels.

Цитата: lilo від 2006-08-28 09:25:24

До Сергія Єгорова: чому не можна змінити поле ттл iptables'ом?

Тому, що використовується FreeBSD, де iptables відсутній як клас. Аналоги -- ipfw, pf.

lilo · « **Відповідей #11 :** 2006-08-28 11:43:29 »

Дякую всим за допомогу. Мабудь дійсно треба трохи простіше дивитися на це питання

.

Linux.org.ua

Автор Гілка: Локальний проксі (Прочитано 2148 раз)

lilo

Локальний проксі

old

Re: Локальний проксі

Smith

Re: Локальний проксі

Praporshic

Re: Локальний проксі

borman

Re: Локальний проксі

Praporshic

Re: Локальний проксі

miwa

Re: Локальний проксі

Smith

Re: Локальний проксі

lilo

Re: Локальний проксі

borman

Re: Локальний проксі

borman

Re: Локальний проксі

lilo

Re: Локальний проксі