ReSQL.ru
     
powered by simpleCommunicator - 2.0.61     © 2026 Programmizd 02
Мобильная версия    Контакт    Правила    FAQ    Помощь
Целевая тема:
Создать новую тему:
Автор:
Закрыть
Цитировать
Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр
Форумы / Unix-системы [игнор отключен] [закрыт для гостей] / трафик & подмена IP адреса
23 сообщений из 23, страница 1 из 1
трафик & подмена IP адреса
    #33012618
sanek842
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
sanek842
Участник
хотелось бы порассуждать на эту тему.
В существующей системе учета трафика у нас каждому юзеру соответствует свой ip адрес, дана какая-то квота и ограничения по времени,в пределах локальной сети IP адреса привязаны к MAC. Но горячие финские парни научились менять нетолько IP, но и MAC адреса, потом привязка к MAC на отделы, где связь через модем и маршрутизатор, уже не катит, у них у всех один MAC - от моторолы :)
Чтоб такое сделать, чтобы всем было "хорошо"?
...
Рейтинг: 0 / 0
13.04.2005, 10:59:43
| Ответить | Цитировать | Написать  
трафик & подмена IP адреса
    #33012627
Фотография lissyara
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
lissyara
Участник
Непрозрачный прокси, каждому логин-пароль. Если кто-то кому-то отдал свой пароль - пусть сам и расхлёбывает.
Posted via ActualForum NNTP Server 1.1
...
Рейтинг: 0 / 0
13.04.2005, 11:01:59
| Ответить | Цитировать | Написать  
трафик & подмена IP адреса
    #33012672
sanek842
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
sanek842
Участник
непрозрачный не очень охото,
вопервых всех обзванивать , объяснять чего где настраивать ....
вовторых есть сайты для служебного пользования, куда ходят не через squid
...
Рейтинг: 0 / 0
13.04.2005, 11:10:30
| Ответить | Цитировать | Написать  
трафик & подмена IP адреса
    #33012733
sanek842
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
sanek842
Участник
кстати squid помоему на браузер шлет стандартный запрос на авторизацию, и если я ничего не путаю, пароль по сети передается просто закодированный в base64, что тоже дыра.
...
Рейтинг: 0 / 0
13.04.2005, 11:25:31
| Ответить | Цитировать | Написать  
трафик & подмена IP адреса
    #33013214
ALex_hha
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
ALex_hha
Участник
автор
кстати squid помоему на браузер шлет стандартный запрос на авторизацию, и если я ничего не путаю, пароль по сети передается просто закодированный в base64, что тоже дыра.

sasl?
...
Рейтинг: 0 / 0
13.04.2005, 13:27:31
| Ответить | Цитировать | Написать  
трафик & подмена IP адреса
    #33013401
sanek842
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
sanek842
Участник
А можно какие-нибудь ссылки по настройке squid через SASL механизм?
Это все браузеры будут понимать?
И еще , проблема была б решена просто если можно было бы все это провернуть через transparent proxy, просто когда я искал, ничего подобного ненашел, любая аутентификация работает лишь на непрозрачном :(

А вообще, да, основная идея по решению проблемы, это пароль. Вообще у меня есть задумка, как это можно сделать, но это собственными силами и много возни. Вот примерный план :
Когда юзер первый раз выходит в инет его перебрасывает на страничку авторизации, это делается через iptables. Там он вводит логин/пароль и время на сколько он авторизуется. При успешной регистрации открываются правила iptables и бесприпятсвенно пропускают трафик пока не истечет время регистрации или пока юзер не разлогинится вручную. Пароль на другом IP адресе есс-но не работает. Итого , чтоб выйти в инет от другого пользователя, нужно не только поменять IP, но и знать чужой пароль, да + ко всему проверка на MAC :) Авторизацию сделать через механизм MD5, где отсылаться в сеть будет не пароль , а хеш-функция, вычисленная JavaScript-ом на основе пароля и ( для надежности ) случайного числа переданного от сервера и запомненного в сессии.

Просто быть может велосипед то уже изобретен, и что то готовое есть? Так SASL то тоже на MD5 вроде как.
...
Рейтинг: 0 / 0
13.04.2005, 14:15:56
| Ответить | Цитировать | Написать  
трафик & подмена IP адреса
    #33013508
ALex_hha
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
ALex_hha
Участник
автор
Просто быть может велосипед то уже изобретен, и что то готовое есть? Так SASL то тоже на MD5 вроде как.

И не только. Я использую Cyrus-SASL для авторизации postfix (CRAM-MD5).

автор
А можно какие-нибудь ссылки по настройке squid через SASL механизм?

Так там и настраивать нечего. Посмотри про настройку Postfix + SASL на opennet.ru
Для squid тоже самое. Если есть mysql, то конфиг sasl будет след

/usr/lib/sasl2/squid.conf
Код: plaintext
1.
2.
3.
4.
5.
6.
7.
8.
9.
pwcheck_method: auxprop
auxprop_plugin: sql
mech_list: login plain cram-md5 digest-md5
sql_engine: mysql
sql_user: squid
sql_passwd: squidadmin
sql_hostnames: localhost
sql_database: squidUser
sql_select: select password from users where login='%u'
Эта фича (sasl) есть только в squid-2.5.STABLE9 (в ранних версиях вроде не видел). Пароли в базе хранятся в виде текста :(, зато при аутентификации пароли вообще не передаются :). Все что нужно хорошо защитить Mysql.

Вот пример из maillog
Код: plaintext
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
Apr  11   12 : 31 : 32  turbogaz pop3d: Connection, ip=[::ffff: 192 . 168 . 127 . 100 ]
Apr  11   12 : 31 : 36  turbogaz authdaemond: received auth request, service=pop3, authtype=cram-md5
Apr  11   12 : 31 : 36  turbogaz authdaemond: authmysql: trying this module
Apr  11   12 : 31 : 36  turbogaz authdaemond: cram: challenge=PEI3RTlEMjQwQkI5RjdGRUFDNDg1Nzk1Q0EwODZDMjc5QHR1cmJvZ2F6LmtoYXJrb3YtdWEuY29tPg==,
response=b2xlZyA1MDBlODQ3ZjczMGQ1N2QxMWU2NzE2NzBlNDE1MTNjMQ==
Apr  11   12 : 31 : 36  turbogaz authdaemond: cram: decoded challenge/response, username 'oleg'
Apr  11   12 : 31 : 36  turbogaz authdaemond: SQL query: SELECT alias, "", password, id, gid, maildir, maildir, "", info, ""
FROM aliases WHERE alias = "oleg@turbogaz.kharkov-ua.com"
Apr  11   12 : 31 : 36  turbogaz authdaemond: cram validation succeeded
Apr  11   12 : 31 : 36  turbogaz authdaemond: Authenticated: sysusername=<null>,
sysuserid= 100 , sysgroupid= 100 , homedir=/var/spool/vmail/oleg/,
address=oleg@turbogaz.kharkov-ua.com, fullname=test account, 
maildir=/var/spool/vmail/oleg/, quota=<null>, options=<null>
Apr  11   12 : 31 : 36  turbogaz authdaemond: Authenticated: clearpasswd=xxxxxx, passwd=<null>
Apr  11   12 : 31 : 36  turbogaz pop3d: LOGIN, user=oleg@turbogaz.kharkov-ua.com, ip=[::ffff: 192 . 168 . 127 . 100 ]

Если не секрет ты где работаешь что у тебя юззвери могут MAC менять?
...
Рейтинг: 0 / 0
13.04.2005, 14:45:11
| Ответить | Цитировать | Написать  
трафик & подмена IP адреса
    #33013525
Фотография Adekamer
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Adekamer
Участник
сквид авторизация ncsa
Join us and be our friend!
...
Рейтинг: 0 / 0
13.04.2005, 14:51:17
| Ответить | Цитировать | Написать  
трафик & подмена IP адреса
    #33013601
sanek842
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
sanek842
Участник
ALex_hhaЕсли не секрет ты где работаешь что у тебя юззвери могут MAC менять?
ну это несекрет конечно :) в области продажи авиабилетов :) там у нас как Internet так и своя СПД с арендой каналов. MAC менять могут конечно не все , только избранные :) Под виндой то незнаю как они делают , а под Linux делов накопейку
Код: plaintext
1.
2.
3.
4.
ifconfig eth0 down
ifconfig eth0 hw ether 00:80:48:CB:EE:4F
ifconfig eth0 192.168.30.21 netmask 255.255.255.128 up
route add default gw 192.168.30.1
и вперед
Против подмены MAC самое надежное конечно это вроде как свичи умные есть, где на каждую дырку привязываешь адрес, но это покупать небудут. Вообщем то проблема то непервостепенная, это я так лишь для себя, обеспечить более менее защиту и как бы так дешево,но сердито :)

ну по поводу настройки squid , спасибо! буду иметь ввиду. Еще бы знать это в прозрачном режиме будет работать?
...
Рейтинг: 0 / 0
13.04.2005, 15:11:10
| Ответить | Цитировать | Написать  
трафик & подмена IP адреса
    #33013624
ALex_hha
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
ALex_hha
Участник
автор
ну по поводу настройки squid , спасибо! буду иметь ввиду. Еще бы знать это в прозрачном режиме будет работать?

Не знаю никогда не пробовал. А что по голове настучать нельзя умным?
...
Рейтинг: 0 / 0
13.04.2005, 15:15:36
| Ответить | Цитировать | Написать  
трафик & подмена IP адреса
    #33013714
sanek842
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
sanek842
Участник
ALex_hhaА что по голове настучать нельзя умным?
так неинтересно :)
...
Рейтинг: 0 / 0
13.04.2005, 15:43:03
| Ответить | Цитировать | Написать  
трафик & подмена IP адреса
    #33013896
ALex_hha
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
ALex_hha
Участник
Зато надежно :)

А в squid никак нельзя привязаться к MAC?
...
Рейтинг: 0 / 0
13.04.2005, 16:24:55
| Ответить | Цитировать | Написать  
трафик & подмена IP адреса
    #33013950
sanek842
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
sanek842
Участник
ALex_hhaА в squid никак нельзя привязаться к MAC?
незнаю, не встречал такого
...
Рейтинг: 0 / 0
13.04.2005, 16:36:26
| Ответить | Цитировать | Написать  
трафик & подмена IP адреса
    #33014284
Фотография serg_tmb
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
serg_tmb
Участник
sanek842 Под виндой то незнаю как они делают

Под виндой ещё проще, в свойствах сетевой карты
...
Рейтинг: 0 / 0
13.04.2005, 18:07:12
| Ответить | Цитировать | Написать  
трафик & подмена IP адреса
    #33014298
Фотография serg_tmb
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
serg_tmb
Участник
sanek842 Под виндой то незнаю как они делают

Под виндой ещё проще, в свойствах сетевой карты
...
Рейтинг: 0 / 0
13.04.2005, 18:14:11
| Ответить | Цитировать | Написать  
трафик & подмена IP адреса
    #33014381
Фотография Хрен
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Хрен
Участник
Как вариант - отсутствие прямого роутинга в интернет. А кому надо в интернет поднимают VPN до твоего сервера в DMZ.

Понятно что это требует дополнительной настройки и обучения населения, но такой вариант трудно пробиваем с помощь подмен.
...
Рейтинг: 0 / 0
13.04.2005, 19:05:57
| Ответить | Цитировать | Написать  
трафик & подмена IP адреса
    #33014393
Фотография Хрен
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Хрен
Участник
Вариант номер 2 - transparent proxy (но ясен пень только для http и https) - iptable искусственно заруливает все пакеты адресованные в интернет на 80 8080 и скажем 8000 порты в твой squid, который и спрашивает пароль. Заодно сможешь собрать статистику куда народ ходит в рабочее время.
...
Рейтинг: 0 / 0
13.04.2005, 19:10:29
| Ответить | Цитировать | Написать  
трафик & подмена IP адреса
    #33014394
Фотография Хрен
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Хрен
Участник
Есть еще варианты но их писать лень
...
Рейтинг: 0 / 0
13.04.2005, 19:12:46
| Ответить | Цитировать | Написать  
трафик & подмена IP адреса
    #33014762
sanek842
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
sanek842
Участник
sanek842 ALex_hhaА в squid никак нельзя привязаться к MAC?
незнаю, не встречал такого
беру свои слова обратно
в доке к моему squid в /usr/share/doc/squid... нашлось вот

Код: plaintext
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
10.20 Can I set up ACL's based on MAC address rather than IP?

Yes, for some operating systes. Squid calls these ``ARP ACLs'' and they are supported on Linux, Solaris, and probably BSD variants.

NOTE: Squid can only determine the MAC address for clients that are on the same subnet. If the client is on a different subnet, then Squid can not find out its MAC address.

To use ARP (MAC) access controls, you first need to compile in the optional code. Do this with the --enable-arp-acl configure option:


% ./configure --enable-arp-acl ...
% make clean
% make

If src/acl.c doesn't compile, then ARP ACLs are probably not supported on your system.

If everything compiles, then you can add some ARP ACL lines to your squid.conf:

acl M1 arp 01:02:03:04:05:06
acl M2 arp 11:12:13:14:15:16
http_access allow M1
http_access allow M2
http_access deny all
...
Рейтинг: 0 / 0
14.04.2005, 07:16:43
| Ответить | Цитировать | Написать  
трафик & подмена IP адреса
    #33014781
sanek842
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
sanek842
Участник
ХренВариант номер 2 - transparent proxy (но ясен пень только для http и https) - iptable искусственно заруливает все пакеты адресованные в интернет на 80 8080 и скажем 8000 порты в твой squid, который и спрашивает пароль. Заодно сможешь собрать статистику куда народ ходит в рабочее время.

а точно с transparent должно получиться?
Например здесь человек пробовал авторизоваться через ncsa. Приведенную там фразу
Код: plaintext
1.
 # WARNING: proxy_auth can't be used in a transparent proxy
я уже где-то встречал в инете, когда разбирался с авторизацией через внешний процесс, так и несмог победить прозрачный прокси.
Думается что на 99% так нельзя, но что то нигде про это не могу найти в официальных доках, все из форумов, так бы прочитать, зарубить это себе наносу и успокоиться :)
...
Рейтинг: 0 / 0
14.04.2005, 07:51:17
| Ответить | Цитировать | Написать  
трафик & подмена IP адреса
    #33014783
sanek842
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
sanek842
Участник
а, собств. это же и написано в дефолтовом squid.conf :)
...
Рейтинг: 0 / 0
14.04.2005, 07:54:12
| Ответить | Цитировать | Написать  
трафик & подмена IP адреса
    #33014804
sanek842
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
sanek842
Участник
serg_tmb sanek842 Под виндой то незнаю как они делают

Под виндой ещё проще, в свойствах сетевой карты
точно :)
...
Рейтинг: 0 / 0
14.04.2005, 08:19:48
| Ответить | Цитировать | Написать  
трафик & подмена IP адреса
    #33016952
vkle
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
vkle
Участник
Может я чего то не понимаю, но что то в Винде не попадалось, где в свойствах
сетевой карты можно поменять ее MAC-адрес.

Posted via ActualForum NNTP Server 1.1
...
Рейтинг: 0 / 0
14.04.2005, 19:09:56
| Ответить | Цитировать | Написать  
23 сообщений из 23, страница 1 из 1
Форумы / Unix-системы [игнор отключен] [закрыт для гостей] / трафик & подмена IP адреса
Найденые пользователи ...
Разблокировать пользователей ...
Читали тему (0):
Читали форум (0):
Пользователи онлайн (0):
Польз. соглашение   Полит. конфиден.  
NoSQL.ru       Кролег: Проекты, Новости, Чат       РЕД ФОРУМ       Фотоальбом: Участники, Встречи
Закрыть
start [/forum/topic.php?fid=25&msg=33016952&tid=1490735]:
 0ms
get settings:
 8ms
get forum list:
 11ms
check forum access:
 2ms
check topic access:
 2ms
track hit:
 188ms
get topic data:
 7ms
get forum data:
 2ms
get page messages:
 49ms
get tp. blocked users:
 1ms
others: 227ms
total:  497ms
созд. / загр.: 497ms
x
x
Закрыть


Просмотр
0 / 0
Close
Debug Console [Select Text]