Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
nikyev Гость
|
Добавлено: Пн Дек 09 2002 14:08 Заголовок сообщения: Подскажите - что-то странное... |
|
|
Что-то странное - в статистике сквида и трафлога появляются какие-то левые айпи типа 192.168.99.1 и 192.168.99.129, хотя в сетке таких нет, и сама сеть вида 192.168.65.0. Подскажите - что это может быть и как оное отлавливать ? |
|
Вернуться к началу |
|
|
Dmitry.Karpov http://prof Гость
|
Добавлено: Пн Дек 09 2002 15:17 Заголовок сообщения: Берешь FireWall и настраиваешь его на отторжение IP-пакетов, которых быть не должно. (-) |
|
|
- |
|
Вернуться к началу |
|
|
nikyev Гость
|
Добавлено: Пн Дек 09 2002 15:29 Заголовок сообщения: Re: Берешь FireWall и настраиваешь его на отторжение IP-пакетов, которых быть не должно. (-) |
|
|
Пробовал я как-то его настроить - ни фига не получилось. Так-то вроде всё ясно, но на деле - тю-тю... Подскажи - где нарыть толковую доку по настройке ipfw ? Хрен с ним со сквидом, я его и убрать могу, не надо мне кэшировать, а вот ipfw бы настроить... |
|
Вернуться к началу |
|
|
Dmitry.Karpov http://prof Гость
|
Добавлено: Пн Дек 09 2002 18:43 Заголовок сообщения: Re: Берешь FireWall и настраиваешь его на отторжение IP-пакетов, которых быть не должно. (-) |
|
|
Для твоего случая надо что-то типа такого:
ipfw add 401 allow from 192.168.65.0/24 to any ipfw add 402 deny from 192.168.0.0/19 to any ipfw add 65530 allow from any to any
Тем самым мы запретим все 192.168.*.*, кроме 192.168.65.* (исключение из правила пишется раньше любого правила. А можно еще запретить обращения наружу минуя Squid (это если у тебя установлен маскарадинг). |
|
Вернуться к началу |
|
|
nikyev Гость
|
Добавлено: Вт Дек 10 2002 09:30 Заголовок сообщения: Re: Берешь FireWall и настраиваешь его на отторжение IP-пакетов, которых быть не должно. (-) |
|
|
Вот это был бы полный класс - запретить не через сквид. Я в сквиде запретил выход всем, кроме моей подсетки 192.168.65.х. Только вот как без ipfw запретить выход наружу не через сквид - это я не знаю. А с ipfw я в одиночку маялся как-то дня три, пытался его со сквидом в паре работать заставить - не получилось. Со сквидом вообще было бы классно, только как это сделать ? Я никогда не пробовал, а точных рекомендаций найти не могу. Думал, что это какой-то хитрый юзер, чтобы его не было видно в статистике траффика (у нас ограничения, не укладываемся в лимит месячный), себе айпи переназначает, но ему было бы легче просто выходить не через сквид. Но это тоже нереально, я ведь с трафлога всё равно бы засёк, а тех, кто это понимает, у нас в конторе нет. Вот и ломаю голову - что это за 192.168.99.х такие.... Можешь подсказать, как ставить маскарадинг и где доки по связке со сквидом ? |
|
Вернуться к началу |
|
|
Dmitry.Karpov http://prof Гость
|
Добавлено: Вт Дек 10 2002 14:36 Заголовок сообщения: А ко мне на сайт зайти не судьба? |
|
|
На http://www.pi2.ru/UnixFAQ есть дока по запуску natd.
Ловить гада можно так: - либо ставим arpwatch (я с ним еще не игрался); - либо прописываем arp для всех адресов такого типа: - либо прописываем роутинг к ним в другую сторону; и потом смотрим логи на предмет MAC-адреса этой сволочи. А еще можно настроить время хранения ARP-таблиц на сутки и увидеть MAC-адрес гада в таблице. Или поймать момент, когда он включен, и увидеть его воочию.
Что, у тебя еще нет таблицы MAC-адресов вашей конторы? Очень зря - садись и составляй! Есть такая утилита - TcpNetView; немного дурная, но полезная.
Посмотри логи регистрации машин в WINS, узнать его NetBIOS-имя и просмотреть его shares - это многое скажет. Нет WINS-сервера? Зря...
PS: Лично я думаю, что это не злодей, а чья-то криворукость в настройке IP-параметров клиентских машин.
Как запретить работу в обход Squid (ополнение к 40*-м правилам): ipfw add 301 allow from 192.168.65.0/24 to 192.168.56.MEin http ipfw add 302 allow from 192.168.65.0/24 to X.Y.Z.MEout http ipfw add 305 deny from any to any http
192.168.56.MEin - внутренний адрес сервера X.Y.Z.MEout - внешний адрес сервера Т.е. я разрешаю всем обращаться ко мне по протоколу HTTP (на самом деле это порт:80, работу по остальным портам типа 810* этот набор правил не запрещает) (это нужно только если у нас на сервере работает Apache); а затем запрещаю всем контачить по HTTP. В правиле 305 можно вместо "from any" написать "from 192.168.0.0/16".
PS: В прошлом мессадже в правиле 402 я написал "192.168.0.0/19" - на самом деле там д.б. "192.168.0.0/16". Странно, что меня никто не поправил.
PPS: В случае неполадок обязательно присылай вывод команды 'ipfw show'. |
|
Вернуться к началу |
|
|
nikyev Гость
|
Добавлено: Вт Дек 10 2002 14:51 Заголовок сообщения: Re: А ко мне на сайт зайти не судьба? |
|
|
Судьба на сайт зайти, судьба Я твоей любезностью уже не в первый раз пользуюсь, за что тебе огромное и искреннее спасибо ! Кстати, если я (в чём я очень сомневаюсь, но мало ли) могу тебе чем-то помочь - всегда ! Всё это буду пробовать, и по очереди. Разбазарюсь только с текучкой - а то у конторвы денег на программера и админа по отдельности не зватает, вот я ещё и админю по совместительству. Маршрутизация у меня статическая, я её ручками прописывал. Перепишу потом вместо айпи на МАК адреса. Да и файерволл я всё же ставить буду, как-то мне неспокойно, да и повод уже есть. Я б надеялся, что это криворукость. Мало ли что юзерам в головы придет. Но они б тут же ко мне бежали, раз в маршрутизации этой сетки нет, они ж работать под таким айпи не смогли бы. Спасибо. |
|
Вернуться к началу |
|
|
nikyev Гость
|
Добавлено: Вт Дек 10 2002 14:54 Заголовок сообщения: Re: А ко мне на сайт зайти не судьба? |
|
|
Я тут ещё подумал - теоретически это вполне осуществимо, я бы смог такую херь написать, если б озадачился и время было. Можно ведь и подменять заголовки пакетов. Только очень уж хитро её надо было бы сюда подвешивать... |
|
Вернуться к началу |
|
|
Dmitry.Karpov http://prof Гость
|
Добавлено: Вт Дек 10 2002 15:27 Заголовок сообщения: Ищи приходящего админа |
|
|
Один квалифицированный админ может обслуживать кучу контор, если его не будут заставлять постоянно пристутвовать, а будут платить за то, что сеть работает и как раз не требует его присутствия. Попробуй раскрутить контору на приходящего админа.
Помочь мне из Липетска будет трудновато - я в Москве...
Почему юзеры не бегут жаловаться - а может, е вас кроме TCP/IP есть еще и NetBEUI и/или IPX, так что локальную сеть они видят и довольны... А на Squid обязательно надо запретить лазанье через его собственные ACL... |
|
Вернуться к началу |
|
|
nikyev Гость
|
Добавлено: Вт Дек 10 2002 15:42 Заголовок сообщения: Re: Ищи приходящего админа |
|
|
Это я уже сделал - запретил вылезать отовсюду, кроме моей подсетки 192.168.65.х. На праздниках займусь ipfw. Или (не уверен, что получится, меня бы устроил только файерволл и без сквида, со сквидом я их связать пытался - не вышло, практики не хватило) хотя бы пропишу маки, чтобы вообще запретить вылез левых. Знаешь, в чём фишка ? В статистике показывается с начала декабря вплоть до 22 мегов на левого юзера, который физически не мог бы столько за девять дней наюзать без обратного ответа (роутинга-то на эту подсетку нет). Вот у меня и подозрение на вирьную херь - каким же надо быть идиотом, чтобы в течении недели нажимать на кнопку "обновить" до исступления и получать ответ "не доступно" ? |
|
Вернуться к началу |
|
|
Dmitry.Karpov http://prof Гость
|
Добавлено: Ср Дек 11 2002 13:01 Заголовок сообщения: Это м.б. и юзер, и служба автоматического обновления программ (в т.ч. и M$явных). (-) |
|
|
- |
|
Вернуться к началу |
|
|
nikyev Гость
|
Добавлено: Ср Дек 11 2002 13:12 Заголовок сообщения: Ответ на: "Это м.б. и юзер, и служба авто..- Dmitry.Karpo..- 11-12-2002 13:01" Re: Это м.б. и юзе |
|
|
Спасибо. Вряд ли юзер - нету здесь таких, а вот автомат. обновление - вполне, пара прог это делает регулярно из-под виндовза. |
|
Вернуться к началу |
|
|
Dmitry.Karpov http://prof Гость
|
Добавлено: Ср Дек 11 2002 13:21 Заголовок сообщения: Кстати, очень похоже на антивирус - они ежедневно обновляют свои базы... (-) |
|
|
- |
|
Вернуться к началу |
|
|
nikyev Гость
|
Добавлено: Ср Дек 11 2002 13:32 Заголовок сообщения: Re: Ответ на: "Это м.б. и юзер, и служба авто..- Dmitry.Karpo..- 11-12-2002 13:01" Re: Это м.б. и юзер, и служба авто |
|
|
Ага, есть такая хрень, Касперский на локалках, это на серваке я дрвеб ставил, а на виндах - оно. Только не понимаю, зачем он себе самовольно левый айпи с левой подсетью присваивать должен ? Это что, такое вот "а мы такие крутые, чего хотим, того и делаем" ? Смысл-то какой ? |
|
Вернуться к началу |
|
|
Dmitry.Karpov http://prof Гость
|
Добавлено: Ср Дек 11 2002 14:28 Заголовок сообщения: С этим тебе придется разбираться самостоятельно - До Липецка от Москвы слишком далеко.... (-) |
|
|
- |
|
Вернуться к началу |
|
|
nikyev Гость
|
Добавлено: Ср Дек 11 2002 14:42 Заголовок сообщения: Re: С этим тебе придется разбираться самостоятельно - До Липецка от Москвы слишком далеко.... (-) |
|
|
Ок, спасибо за помощь. |
|
Вернуться к началу |
|
|
|