Форум русскоязычного сообщества Ubuntu


За новостями русскоязычного сообщества и Ubuntu в целом можно следить на нашей страничке в Google+

Автор Тема: Можно ли через NAT создать отдельные правила для конкретного MAC или IP  (Прочитано 628 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн alexbalkan

  • Автор темы
  • Активист
  • *
  • Сообщений: 277
    • Просмотр профиля
В сети настроен прозрачный Squid, некоторые работники находят способы обходить прокси. Вот для них хотелось бы установить жесткие правила. Помогите пожалуста.

Оффлайн djrust

  • Активист
  • *
  • Сообщений: 851
    • Просмотр профиля

Оффлайн alexbalkan

  • Автор темы
  • Активист
  • *
  • Сообщений: 277
    • Просмотр профиля
как обходят то?
Откуда же я знаю. Вижу по исходящему трафу его MAC-a. Можно только закрыть через NAT, но это совсем уже. Не понимают люди что в рабочее время они мешают своими действиями. Одновременно и закачка у него идет вдобавок IP телефония с видео. Проблем бы небыло, канал слабоватый, только для работы необходим. Получается что я не могу страницу открыть или мейл проверить, что кто то решает свои вопросы.

Оффлайн djrust

  • Активист
  • *
  • Сообщений: 851
    • Просмотр профиля
Это не обход получается....или?
не совсем понимаю как можно обойти прозрачный прокси...он завернут на 80 порт?так?
Блокируйте все исходящие соединения на внешку,оставляйте только разрешенные,а все остальное на проксю....
На проксе уже ставьте ограничения по скорости

Оффлайн alexbalkan

  • Автор темы
  • Активист
  • *
  • Сообщений: 277
    • Просмотр профиля
Это не обход получается....или?
не совсем понимаю как можно обойти прозрачный прокси...он завернут на 80 порт?так?
Блокируйте все исходящие соединения на внешку,оставляйте только разрешенные,а все остальное на проксю....
На проксе уже ставьте ограничения по скорости

У меня так и сделано.
iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.2.0/24 -j MASQUERADE
iptables -A FORWARD -i eth0 -o eth0 -j REJECT
iptables -t nat -A PREROUTING -i eth1 ! -d 192.168.2.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.2.200:3128
#https open
iptables -t filter -A FORWARD -p tcp -m tcp --dport 443 -j ACCEPT
Например я сам могу обойти с помощью UltraSurf. Может быть подобным образом обходят прокси.
Может сюда еще чего добавить связанное с ограничением определенных портов, но только для этого адреса.
« Последнее редактирование: 27 Май 2014, 17:33:45 от alexbalkan »

Оффлайн djrust

  • Активист
  • *
  • Сообщений: 851
    • Просмотр профиля
Цитировать
Например я сам могу обойти с помощью UltraSurf

мне сдается ты через свой прокси к нему же и подключаешься(т.е это не обход)....там 127.0.0.1 9666
У меня вот не работает)))только  у меня не прозрачный!

т.е траф то идет через прозрачный прокси...
умные поправят если не прав!




Оффлайн alexbalkan

  • Автор темы
  • Активист
  • *
  • Сообщений: 277
    • Просмотр профиля
Цитировать
Например я сам могу обойти с помощью UltraSurf

мне сдается ты через свой прокси к нему же и подключаешься(т.е это не обход)....там 127.0.0.1 9666
У меня вот не работает)))только  у меня не прозрачный!

т.е траф то идет через прозрачный прокси...
умные поправят если не прав!
Ну как бы прав, и я тоже так думаю. Но вот что я сделал во время того когда статистику смотрел, я отключил squid, у меня инета на машине нет, а у него траф прет как по автобану. Вот проблема.
И еще хотел сказать, я новичок и толком не разобрался с NAT как пользоваться iptables "тупо срисовал". Посмотрите правильно ли у меня все описано для заворота на прокси, и чтобы ничто из сети не могло обращаться во внешку кроме прокси.




[/quote]
« Последнее редактирование: 27 Май 2014, 19:20:27 от alexbalkan »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 25976
    • Просмотр профиля
как обходят то?
Откуда же я знаю. Вижу по исходящему трафу его MAC-a. Можно только закрыть через NAT, но это совсем уже. Не понимают люди что в рабочее время они мешают своими действиями. Одновременно и закачка у него идет вдобавок IP телефония с видео. Проблем бы небыло, канал слабоватый, только для работы необходим. Получается что я не могу страницу открыть или мейл проверить, что кто то решает свои вопросы.
Вы для начала определитесь, что именно происходит. А для этого, да, надо учиться пользоваться анализаторами трафика.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн alexbalkan

  • Автор темы
  • Активист
  • *
  • Сообщений: 277
    • Просмотр профиля
как обходят то?
Откуда же я знаю. Вижу по исходящему трафу его MAC-a. Можно только закрыть через NAT, но это совсем уже. Не понимают люди что в рабочее время они мешают своими действиями. Одновременно и закачка у него идет вдобавок IP телефония с видео. Проблем бы небыло, канал слабоватый, только для работы необходим. Получается что я не могу страницу открыть или мейл проверить, что кто то решает свои вопросы.
Вы для начала определитесь, что именно происходит. А для этого, да, надо учиться пользоваться анализаторами трафика.
Это и ежу понятно. Я думаю что iptraf очень хороший инструмент в умелых руках, но я толком не умею пользоваться. Там есть Filter ну вот что туда вбивать не знаю. Я вбил туда IP злоумышлиника маску подсети порты от 0 до 99999 и везде поставил галочки Y ну и толком ничего не получил потому как не знаю что надо делать. Подскажите мне пожалуста как мне лучше собрать статистику в LOG  что ли, чтоб как то собрать информацию на этот IP что он делает. Что мне для этого надо сделать. Если можно описать процедуру.
« Последнее редактирование: 27 Май 2014, 20:11:36 от alexbalkan »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 25976
    • Просмотр профиля
tcpdump, MAC адрес, wireshark.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13746
    • Просмотр профиля
как обходят то?
Откуда же я знаю.

Ответ очевиден
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT

В Ваших правилах НИЧЕГО не сделано для блокирования нежелательного трафика. Хотя нет... есть слабые потуги ограничить http траффик, который можно считать самым экономным.

Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн alexbalkan

  • Автор темы
  • Активист
  • *
  • Сообщений: 277
    • Просмотр профиля
как обходят то?
Откуда же я знаю.

Ответ очевиден
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT

В Ваших правилах НИЧЕГО не сделано для блокирования нежелательного трафика. Хотя нет... есть слабые потуги ограничить http траффик, который можно считать самым экономным.


Что еще можно сделать или добавить чтоб потуги стали более сильными или весомыми!

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13746
    • Просмотр профиля
убрать
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
но добавить
sudo iptables -P FORWARD DROP
sudo iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

и не забыть про
sudo iptables -t mangle -A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
После этого начинаем разрешать нужное
Например, если используются провайдерские DNS
sudo iptables -A FORWARD -p tcp --dport 53 -j ACCEPT
sudo iptables -A FORWARD -p udp --dport 53 -j ACCEPT

Ну или для того же https
sudo iptables -A FORWARD -p tcp --dport 443 -j ACCEPT
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн alexbalkan

  • Автор темы
  • Активист
  • *
  • Сообщений: 277
    • Просмотр профиля
Просьба, я сделал несколько логов с помощью tcpdump связанных с этим адресом, входящий исходящий на этот адрес. Можете глянуть, чтобы как то помочь прояснится.

Пользователь решил продолжить мысль 28 Май 2014, 10:01:55:
убрать
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
но добавить
sudo iptables -P FORWARD DROP
sudo iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

и не забыть про
sudo iptables -t mangle -A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
После этого начинаем разрешать нужное
Например, если используются провайдерские DNS
sudo iptables -A FORWARD -p tcp --dport 53 -j ACCEPT
sudo iptables -A FORWARD -p udp --dport 53 -j ACCEPT

Ну или для того же https
sudo iptables -A FORWARD -p tcp --dport 443 -j ACCEPT
Если я Вас правильно понял то должно выглядеть так
#iptables -A INPUT -i lo -j ACCEPT
#iptables -P FORWARD DROP
#iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
#iptables -t nat -A POSTROUTING -o eth0 -s 192.168.2.0/24 -j MASQUERADE
#iptables -t mangle -A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
#iptables -A FORWARD -i eth0 -o eth0 -j REJECT
#iptables -t nat -A PREROUTING -i eth1 ! -d 192.168.2.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.2.200:3128

Пользователь решил продолжить мысль 28 Май 2014, 13:50:44:
Вот не знаю. Вроде все сделано а все равно можно работать обходя прокси, опять тот же UltraSurf
« Последнее редактирование: 28 Май 2014, 15:14:43 от alexbalkan »

Оффлайн deniska2

  • Участник
  • *
  • Сообщений: 211
  • Учусь долго,но запоминаю навсегда :)
    • Просмотр профиля
Не стоит мне видимо пока сюды лезть (знаний пока по этой теме мало) ,но вот это немного помогло понять,что да как (для новичков,но повторить сойдёт)
http://linuxru.org/linux/24
« Последнее редактирование: 28 Май 2014, 15:40:22 от deniska2 »
Ubuntu 12.04

 

Страница сгенерирована за 0.059 секунд. Запросов: 25.