Quarcel
МаглыТип контенту
Профили
Форум
Календарь
Все, що було написано Quarcel
-
1 Модуль статистики - собственно без этого мне кажется биллинг - не биллинг 2 Ведение http логов, подробная статистика - весомый аргумент против необоснованых криков типа "А чего это мне лишний трафик бежит?" 3 Модуль выходные дни - вообще нужно совершенствовать гибкость и возможности тарифов 4 управление файрволом и скорости - сильно добавит функциональности(не надо извращатся чтобы делать такое отдельно через пятую точку) 5 Модуль смены пароля 6 Модуль пополнения счета по карточкам, насчет этого пунтка скажу - он мне не нужен совсем поэтому в конец
-
Дак то что предупредить оно понятно, а как отследить сие безобразие.
-
интересно а что же может решить VPN - кто заъочет также сопрет чужой пароль поменяет себе мак и ип и войдет в сеть. Мое мнение: 100% избежать воровства трафика можно лишь поставив везде "умные" свитчи - то есть привязать мак адрес к порту.
-
не совсем понял - а зачем "все остальное"(кроме IP трафика) считать?
-
можно надеятся что ограничатся сменой тока ип, а вдруг нет? Ведь поменять мак ниче не стоит - даже под виндой - и даже проще чем описывают выше - использовать smac нужно только в 98-й винде а в 2к и ХР в настройках есть пункт апаратный адрес(хотя вообщем зависит от дров - но какие видел - везде было), а в никсах и того проще. то что отснифать со свитчами ниче нельзя - это ошибка - MiM атаки против винды никто не отменял(а вот против линукса его отменяет arp_antidote упомянутый выше ), но повторюсь - это злоумышленику не поможет - трафик авторизатора шифруется.
-
Ну просто кто-то может узнать чужой пароль - и воспользоваться этим поменяв себе ип адрес Вот в чём вопрос: как избежать самовольной смены IP клиентом? как говорил zulu_gluk arpwatch - то есть избежать нельзя, но можно отследить(в принципе против винды есть средство от смены ип - но это не стандартно и криво(тк опирается на кривость самой винды и её работы с сетью), а никсы вообще наплюют на этот способ)
-
Пинг(icmp) это тоже IP протокол(icmp+udp+tcp+gre+(ещё парочка)=IP) самое главное своевременно это заметить и наказать такого неродивого пользователя (методы бывают разные)! В том и дело если оставить ETH_P_ALL заметить не получиться - флудить можно будет хоть чем - лишь бы ethernet заголовок был корректен и стг всё поймает.
-
А почему его не пустит в инет если он хостнэйм(под этим я имею ввиду имя которое ставиться в винде и под которым эта машина видна в локальной сети - может ещё какое-то понятие о hostname есть?) арп_антидот тут ни причем - не думаю что кто-то будет ухищряться и проводить мен ин миддл скорее уж подождут когда цель выключит машину и займет его ип и мак, а статичная арп таблица эффиктивней арп_антидота - хотя конечно у этого способа есть свои минусы(например если кто-то поменяет себе сетевуху, то будет долго возмущаться почему инет у него не работает)
-
Надысь глядел в исходники старгейзера у увидел в cap.cpp(для линукса) такое: capSock = socket(PF_PACKET, SOCK_RAW, htons(ETH_P_ALL)); и вот соб-но в чем вопрос - а почему бы не сделать ETH_P_IP вместо ETH_P_ALL, ведь потом все равно отсекается все кроме IP трафика(в функции ParsePacket). Так стг не будет отвлекаться на левый трафик. Если вдуматься, то главная проблема здесь такая, что сокеты не обеспечивают гарантии доставки пакетов приложению - и если оно не будет успевать их обрабатывать то некоторые пакеты потеряются, но форвард для этих пакетов все равно будет - то есть если кто-то в
-
а пароль шифруется - так чт отснифать пароль просто так не получиться кстати вот придумал способ как отслеживать хулиганства: собирать фингерпринты то есть мысль такая написать сканер который отсканит сеть и составит базу, в базе он для каждого запишет например такие данные как ip,mac,hostname и расшаренные ресурсы(это можно получить по netbios/smb), хар-ные особенности(например какие-то нестандартные порты), ОС(это определить сложно хотя отличить винду ,линукс и freebsd по tcp стеку можно - я видел это в nmap) и прочее на сколько хватит фантазии и что можно определить удаленно. И пот
-
Ну от подмены ип защититься порсто - статичные арп таблицы, а вот от смены ип+мак уже без "умных" свитчей никак - против лома как говорится..... для того наверное в стг и сделаны логин и пароль - надо только сказать клиентам чтоб никому пароль свой не говорили - иначе их проблемы, а засранцев меняющих ип/мак отлавливать и устраивать показательные наказания
-
Ну впн во многих случаях очень удобен, для больших домашних сетей обычно и пишутся билинги которые юзаются вместе с впн, стг имхо нацелен на небольшие сети.
-
Как авторизироваться , не используя access.exe? Помогите.
тема ответил в BOBAH пользователя Quarcel в Розробка Stargazer
Ну вообще-то это фича есть и в первом СТГ -
Сквид и старгейзер могут дружить в данном случае только одним способом: транспарент прокси, по другому разделить траффик на укр/забугор/локальный не возможно: все будет считаться как локальный траффик.
-
Это что за дрова? C линуксдвб.тв? У меня так и не получилось их запустить под SS2(skystar2? а то может другая какая карта есть с в сокращении дающая ss2) у меня была карта ревизии 2.6 и так поянл тогда(пол года назад) эти дрова не работали с этой ревизией(а только с 2.3) поэтому я брал дрова из сдк где-то на http://www.t-data.lu/, там прекомпиленные дрова под разные ядра(под 2.4.20-8 точно есть).
-
для stg2 от 5 мая: settings.cpp 54-я строка: kilo = 1024; //TODO: read this parameter from file коментарий радует в конфиге присутствует строка kilo = 1024 но перед ней написано unused - соот-но она не используется а кбайт он считает 1024 байт или 1000?
-
Еще баг: в таблице последние ссылки стоит "Все Сетестроителя!" из раздела "Полезные сайты", при переходе по этой ссылке в соот-ий раздел оказывается что раздел пуст
-
Это можно поменять в исходниках(хотя не понятно зачем) 1 мбайт=1024 кбайт=1024*1024 байт
-
Проблема с подсчетом по направлениям
тема ответил в VLad пользователя Quarcel в Питання по Stargazer
Проверь правильно ли у тебя указаны интерфейсы по которым нужно вести учет, мне кажется ты перепутал. И ещё говоришь сквид стоит вот и допиши вначале TCP 172.16.0.1:3128 DIR2 иначе он будет считать трафик идущий на через прокси как локальный. Но проблема - трафик идущий через прокси нельзя будет разделять, локальный,укр-ий или внешний -
Я всё таки так и не понял почему нельзя свич1 и свич4 соеденить напрямую? Насчет сгорит - это не отмаз грозозащита рулит! А что тут не правильного я не догоняю - по докам можно 7 свичей вряд ставить без каких либо последствий - на практике значительно больше. Но уж если по другому никак то самый простой вариант это настроить линукс машину чтоб она работала мостом(здесь утилиты и доки для настройки: bridge.sourceforge.net). Тогда не придется гемороится с роутнгом. Практически сервер будет выглядеть обычным свичем(хотя не совсем обычным - фильтрация пакетов и всё такое )
-
Сам не делал но вот мои мысли на этот счет в стг идет привязка пользователя к ип и интерфейсу, и если vpn можно чтоб конкретным пользователям выдавался определенный ип,то сделать чтоб интерфейс был постоянен технически невозможно. Можно сказать стг чтобы считал на интерфейсе который "смотрит" в инет, но и с этим могут возникнуть проблемы: 1)если будет стоять прокси то трафик через него не будет подсчитаться и вообще локальный трафик не подсчитать(хотя в последнем утверждении может и не прав - сам не делал - поправьте кто пробовал на практике). 2)Также если будет осуществляться маскаради
-
Шард на одну локалку - дело фиговое. УО это если я не ошибаюсь mmorpg - mass multiplayer.... а в одной локалке какая же это масс, либо нужно в инете играть, либо несколько сеток - у вас там на Украинский трафик бесплаьный вот и поставьте один на всех на счёт того 100$ за шард надо сказать что бывает и дороже значительно - напрмер если разрабатывать шард с нуля - то есть уникальный то это не за 1000$ и далее перевалит, ведь поставить сервак не просто установить и запустить а написать скрипты, заполнить мир и тд, есть конечно и готовое(хотя смотря под какой сервак - под pol мало, под sphere м
-
А нельзя ли сделать авторизацию в стг "внешним модулем", то есть пусть старгейзер ждет на фифо канале или ещё как-нть, системные сообщения типа разрешить серфинг таким-то пользователям, а саму авторизацию сделать с помощью внешней проги которая соб-но и будет принимать запросы от клиентов, обрабатывать и если всё ок говорить сг чтоб пустил пользователя. Это позволит более менее умеющим программировать людям делать свою авторизацию - под свои нужды . Менять что-то в целом коде очень сложно - я чтоб сделать двоих пользователей на одном ип половину исходников перерыл ища нужные функции. Кроме то
-
Тогда думаю лучше запретить прокси для локальных адресов лучше в самом сквиде
-
В чем проблема не понимаю старгейзер позволяет прописывать порты а не только целый ипшник, делаешь например так: TCP 192.168.1.1:3128 DIR0 TCP 192.168.1.0/24 NULL ALL 0.0.0.0/0 DIR0 где 192.168.1.1 ипшник сервака а 192.168.1.0/24 локальная сеть