Перейти к содержимому
Калькуляторы

captive portal и потенциальная дыра?

тестирую captive portal:

Полиси captive.cfg

htb_root=rate 1mbit
htb_class0=rate 8bit ceil 1mbit
htb_class1=rate 8bit ceil 8bit
htb_class2=rate 8bit ceil 8bit
htb_class3=rate 8bit ceil 8bit
htb_class4=rate 8bit ceil 8bit
htb_class5=rate 8bit ceil 8bit
htb_class6=rate 8bit ceil 8bit
htb_class7=rate 8bit ceil 8bit
 

Разбиение трафика следующее:

Вариант 1

bittorrent cs7
default cs2
http cs0
mpeg cs1
dns cs1
icmp cs1
https cs1
 

Ничего не работает, в том числе и белые списки, captive тоже не открывается, что логично ибо DNS режется :-)

Вариант 2

bittorrent cs7
default cs2
http cs0
mpeg cs1
dns cs0
icmp cs1
http cs0

Все работает белые списки и captive.

При этом DNS доступ к сторонним серверам не ограничивается и потенциально дает возможность использовать DNS туннели.

Можно конечно DNS в отдельный класс и дать ему 8kbit :-)

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А почему доступ к сторонним dns должен ограничиваться?)

а так вы сами ответили либо dns в отдельный класс, либо ваш dns в отдельный класс (да хоть в cs0), а остальным блочить. Есть еще куча вариантов, все зависит от вашей структуры сети.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
В 01.08.2018 в 11:11, shicoy сказал:

А почему доступ к сторонним dns должен ограничиваться?)

а так вы сами ответили либо dns в отдельный класс, либо ваш dns в отдельный класс (да хоть в cs0), а остальным блочить. Есть еще куча вариантов, все зависит от вашей структуры сети.

 

да так и сделали, отдельный класс, вопрос в другом, почему не сделать белый список DNS ))))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас