[HoatDog]

У меня стоит задача заблокировать возможность раздачи инета внутри сети пользователями. На данный момент написал ACL для закрытия возможности поднятия VPN сервера, но думаю как закрыть возможность поднятия шлюза у пользователей, и как это можно отследить?

[fox_m]

Можно попробовать отслеживать TTL пакетов.

[HoatDog]

Проблема в том, что возможен такой вариант они откупят канал у сибирьтелекома а внутри нашей раздавать будут.

[terrible]

сегментируйте абонентов друг от друга, сегментируйте брудкаст абонентов, разрешите обращаться только на ваши DNS сервера

ну куча есть вариантов

[Ivan_83]

Либо ценами, либо запретить межабонентский траффик вовсе.

Ценами или равные/ниже стк, или вводить внутризон, чтобы получалось что: ваш интернет>=ваш внутризон+инет стк

 

Прокси можно повешать на любой порт, опен впн имеет много возможностей, и вообще если данные хоть какието идут, передавать можно всё что угодно.

[MAD]

считаю что тема очень актуальна, самому интересно.

[netmonster]

хорошо действующий способ только от ценовой политики...

 

а так:

отслеживать TTL

snort (отслеживание по содержимому (pptp, http proxy, etc...)

squid/oops + логирование запросов с типом клиента (User-Agent сравнивать, не думаю что клиент имеет больше N-браузеров)

[HoatDog]

А по контент маске нельзя резать? Есть желание на аксесе еще все зарезать,ибо трафик может и не дойти до ядра. Насчет DNS думаю не прокатит так как у клиента можно прописать и наш DNS... Ценовая политика тоже не вариант ибо стк единственный магистрал в регионе.

Изменено 16 июля, 2009 пользователем HoatDog

[terrible]

ну на аккесе разрешите только ваши протоколы и только на ваши сервера, остальное убить и засегментировать

[Ivan_83]

<br />хорошо действующий способ только от ценовой политики...<br /><br />а так:<br />отслеживать TTL<br />snort (отслеживание по содержимому (pptp, http proxy, etc...)<br />squid/oops + логирование запросов с типом клиента (User-Agent сравнивать, не думаю что клиент имеет больше N-браузеров)<br />

<br /><br /><br />

 

И как это поможет отследить что абонент подключённый к сети качает через другого абонента, который качает через другого провайдера?

 

Только мониторинг межабонентского траффика тут может выявить, либо резкео падение потребления траффика.

[nnm]

А может просто прекратить предоставлять локалку на халяву? :)

[HoatDog]

Сегодня решил натровить хспайдер на весь выделяемы диапозон адресов чтобы понять какие у народа открыты сервисы и как сними бороться

Конечно это не сильно эфективно но хоть какой-то способ сбора информации

 

[martin74]

10.0.0.0/8 к примеру? И что с этим результатом делать будете?

[terrible]

Сегодня решил натровить хспайдер на весь выделяемы диапозон адресов чтобы понять какие у народа открыты сервисы и как сними бороться

Конечно это не сильно эфективно но хоть какой-то способ сбора информации

эх долго вы будете искать таких халявщиков, долго

ограничить работу протоколов как я описал выше не судьба?

[woddy]

У меня стоит задача заблокировать возможность раздачи инета внутри сети пользователями. На данный момент написал ACL для закрытия возможности поднятия VPN сервера, но думаю как закрыть возможность поднятия шлюза у пользователей, и как это можно отследить?

что за <censored> самодеятельность?

вот у меня дома ВПН сервер(dfl-210), чтоб с работы иметь доступ к документам по защищенному каналу. и из-за таких *даков я не смогу им пользоваться?

 

если сами не умеете продавать услуги - наймите того кто умеет. а не занимайтесь охотой на ведьм

[HoatDog]

НУ почему сразу так нецензурно?

99.9% пользователям из всего, что вы перечисли не нужно, а если комуто так сильно надо отдельный влан за отдельную плату:))

Это уже не охота на ведьм а реалии жизни

[woddy]

вопрос простой. какая доля ваших абонентов пользуется перепроданым интернетом?

какой ущерб наносится?

есть реальные оценки кроме ваших домыслов?

 

как бороться с прокси на произвольном порту?

[HoatDog]

Бороться легко и просто бум как и говорилось зарезать все окромя нужного а прокся не так и удобно

Если сегодня 10 человек пользоваться завтра к халяве подключаться надсать человек

Я даже знаю кто поднял сервер но смысл то не в этом главное прикрыть в принципе возможность.

Может у вас компания большая и для вас это не заметно в денежном варианте, то в маленькой компание смысл есть.

Изменено 18 июля, 2009 пользователем HoatDog

[nnm]

Бороться легко и просто бум как и говорилось зарезать все окромя нужного а прокся не так и удобно

А что нужно? Вот например 138 порт между абонентами разрешать будем? Ну так чтобы они порнуху друг у друга тянули. Если да, то нужно быть морально готовым к тому, что на нем вместо smbd может и openvpn висеть.

 

[HoatDog]

Бороться легко и просто бум как и говорилось зарезать все окромя нужного а прокся не так и удобно

А что нужно? Вот например 138 порт между абонентами разрешать будем? Ну так чтобы они порнуху друг у друга тянули. Если да, то нужно быть морально готовым к тому, что на нем вместо smbd может и openvpn висеть.

Нетбиос и вся шляпа виндосовская уже заблокированая, у нас народ все через чат кидает либо п2п.

 

[Ivan_83]

Бедные абоненты.

 

Скоро им воздух продавать начнут:

доступ в интернет по 80 порту: 1 руб/мб

доступ в интернет по 25 порту: 10 руб/мб

доступ в интернет по 110 порту: 15 руб/мб

по остальным портам: 5 руб/мб * (подключается в офисе по письменному заявлению)

%)

 

 

Не серьёзно как то.

Тогда уж в договоре писать что запрещается предоставлять доступ к сетям других провайдеров.

 

 

А что помешает гнать инет по портам которые пользуются чатом или п2п?

[HoatDog]

Бедные абоненты.

 

Скоро им воздух продавать начнут:

доступ в интернет по 80 порту: 1 руб/мб

доступ в интернет по 25 порту: 10 руб/мб

доступ в интернет по 110 порту: 15 руб/мб

по остальным портам: 5 руб/мб * (подключается в офисе по письменному заявлению)

%)

 

 

Не серьёзно как то.

Тогда уж в договоре писать что запрещается предоставлять доступ к сетям других провайдеров.

 

 

А что помешает гнать инет по портам которые пользуются чатом или п2п?

Тобишь Лучше ничего не делать а просто все отдать на откуп всевышнему так что-ли?

Возможность есть всегда, но лучше свести эти возможности к нулю или чтобы стремилось к нему

Изменено 20 июля, 2009 пользователем HoatDog

[nnm]

Тобишь Лучше ничего не делать а просто все отдать на откуп всевышнему так что-ли?

Возможность есть всегда, но лучше свести эти возможности к нулю или чтобы стремилось к нему

Вот у Вас в сети есть халявный меж-абонентский трафик на скорости провода. Это плюс, с точки зрения абонента.

И странные правила, ограничивающие этот трафик. Это минус.

Есть-ли уверенность, что плюс в данном случае перевешивает минус?

Изменено 20 июля, 2009 пользователем nnm

[HoatDog]

Тобишь Лучше ничего не делать а просто все отдать на откуп всевышнему так что-ли?

Возможность есть всегда, но лучше свести эти возможности к нулю или чтобы стремилось к нему

Вот у Вас в сети есть халявный меж-абонентский трафик на скорости провода. Это плюс, с точки зрения абонента.

И странные правила, ограничивающие этот трафик. Это минус.

Есть-ли уверенность, что плюс в данном случае перевешивает минус?

Ну оно и понятно скорей всего будет добавлен пункт о запрете предоставления доступа в сторонние сети.

на данный момент пишу ацл на свитци по контнт маске

 

[911]

Cколько у вас щас минимальный тариф? Вы предоставляете инет по типа абонка хх рублей + уу рублей за МБ или безлимитные тарифы? или пакетные тарифы (за хх рублей уу МБ инета и zz рублей за превышение)?

Все просто - надо продавать или анлимы, или пакетные тарифы с учетом трафика и оперативно блокировать доступ в сеть неплатильщикам (отключать не только инет, но и сеть, если не заплатил вовремя)

Тогда просто экономически нецелесообразно будет людям платить вам абонплату + платить за "левый" инет

Других способов нет!