Jump to content
Калькуляторы

captive portal и потенциальная дыра?

тестирую captive portal:

Полиси captive.cfg

htb_root=rate 1mbit
htb_class0=rate 8bit ceil 1mbit
htb_class1=rate 8bit ceil 8bit
htb_class2=rate 8bit ceil 8bit
htb_class3=rate 8bit ceil 8bit
htb_class4=rate 8bit ceil 8bit
htb_class5=rate 8bit ceil 8bit
htb_class6=rate 8bit ceil 8bit
htb_class7=rate 8bit ceil 8bit
 

Разбиение трафика следующее:

Вариант 1

bittorrent cs7
default cs2
http cs0
mpeg cs1
dns cs1
icmp cs1
https cs1
 

Ничего не работает, в том числе и белые списки, captive тоже не открывается, что логично ибо DNS режется :-)

Вариант 2

bittorrent cs7
default cs2
http cs0
mpeg cs1
dns cs0
icmp cs1
http cs0

Все работает белые списки и captive.

При этом DNS доступ к сторонним серверам не ограничивается и потенциально дает возможность использовать DNS туннели.

Можно конечно DNS в отдельный класс и дать ему 8kbit :-)

 

Share this post


Link to post
Share on other sites

А почему доступ к сторонним dns должен ограничиваться?)

а так вы сами ответили либо dns в отдельный класс, либо ваш dns в отдельный класс (да хоть в cs0), а остальным блочить. Есть еще куча вариантов, все зависит от вашей структуры сети.

 

Share this post


Link to post
Share on other sites
В 01.08.2018 в 11:11, shicoy сказал:

А почему доступ к сторонним dns должен ограничиваться?)

а так вы сами ответили либо dns в отдельный класс, либо ваш dns в отдельный класс (да хоть в cs0), а остальным блочить. Есть еще куча вариантов, все зависит от вашей структуры сети.

 

да так и сделали, отдельный класс, вопрос в другом, почему не сделать белый список DNS ))))

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this