Подключился к инету (районная локалка), но столкнулся с неприятностью: сетевики запрещают пользоваться прокси, NATом и т.п. средствами "расшаривания" инета. А дома у меня — 3 машины + ноут, хочется чтобы инет был везде.
Собственно, вопрос: как они могут засечь прокси?
Здравствуйте, O-Sam, Вы писали:
OS>Подключился к инету (районная локалка), но столкнулся с неприятностью: сетевики запрещают пользоваться прокси, NATом и т.п. средствами "расшаривания" инета. А дома у меня — 3 машины + ноут, хочется чтобы инет был везде. OS>Собственно, вопрос: как они могут засечь прокси?
повесь прокси ТОЛЬКО на внутренний интерфейс, тогда нельзя проверить что у тебя на локальном интерфейсе прокси висит.
или можешь даже файрволл поставить и все внешние исходящие не тобой провоцированные пакеты рубить
Здравствуйте, O-Sam, Вы писали:
OS>Подключился к инету (районная локалка), но столкнулся с неприятностью: сетевики запрещают пользоваться прокси, NATом и т.п. средствами "расшаривания" инета. А дома у меня — 3 машины + ноут, хочется чтобы инет был везде. OS>Собственно, вопрос: как они могут засечь прокси?
ilnar wrote:
> Здравствуйте, O-Sam, Вы писали: > > OS>Подключился к инету (районная локалка), но столкнулся с неприятностью: сетевики запрещают пользоваться прокси, NATом и т.п. средствами "расшаривания" инета. А дома у меня — 3 машины + ноут, хочется чтобы инет был везде. > OS>Собственно, вопрос: как они могут засечь прокси? > > а определить могут простым сканированием портов
Здравствуйте, MaximE, Вы писали:
ME>ilnar wrote:
>> Здравствуйте, O-Sam, Вы писали: >> >> OS>Подключился к инету (районная локалка), но столкнулся с неприятностью: сетевики запрещают пользоваться прокси, NATом и т.п. средствами "расшаривания" инета. А дома у меня — 3 машины + ноут, хочется чтобы инет был везде. >> OS>Собственно, вопрос: как они могут засечь прокси? >> >> а определить могут простым сканированием портов
ME>Все порты закрыты. Что это значит?
в смысле закрыты, еще вопрос не до конца понятен, подробнее плиз
ME>-- ME>Maxim Yegorushkin
[]
>>> а определить могут простым сканированием портов > > ME>Все порты закрыты. Что это значит? > > в смысле закрыты, еще вопрос не до конца понятен, подробнее плиз
На машину, которая имеет доступ в сеть, я поставил proxy + nat (iptables). Интерфейс eth0 — локальная сеть, eth1 — интернет. На интерфейсе eth1 все порты закрыты. Как сканированием портов из интернета определить, что это proxy?
Рубить к чёртовой бабушке попытки заломиться куда-либо извне, и будет счастье. Я имел ввиду, может по содержимому пакетов становится ясно что они идут через прокси? Стандартные заголовки какие-нибудь там, или ещё чего... Прокси ведь наверняка в запросы суёт какую-то стандартную оберточную информацию...
Если не ошибаюсь, по TTL могут засечь. У linux'овских iptables AFAIK, даже есть опция — на трани\зитные пакеты устанавливать определенный TTL.
Вы писали:
OS>Подключился к инету (районная локалка), но столкнулся с неприятностью: сетевики запрещают пользоваться прокси, NATом и т.п. средствами "расшаривания" инета. А дома у меня — 3 машины + ноут, хочется чтобы инет был везде. OS>Собственно, вопрос: как они могут засечь прокси?
Здравствуйте, MaximE, Вы писали:
ME>ilnar wrote:
ME>[]
>>>> а определить могут простым сканированием портов >> >> ME>Все порты закрыты. Что это значит? >> >> в смысле закрыты, еще вопрос не до конца понятен, подробнее плиз
ME>На машину, которая имеет доступ в сеть, я поставил proxy + nat (iptables). Интерфейс eth0 — локальная сеть, eth1 — интернет. На интерфейсе eth1 все порты закрыты. Как сканированием портов из интернета определить, что это proxy?
тогда сканированием не получится определить прокси. но если этот прокси че-то сует в заноловки — то по контенту. в этом случае можешь ставить прозрачный прокси.
еще проще сокс прокси поставить. и с машин работаешь через сокскап (для винды)
а что касается НАТ, то в них ип адреса заменяются, только вот насчет ТТЛ не в курсе, ты попробуй tcpdump ом посмотреть какие пакеты в каком случае идут.
ME>-- ME>Maxim Yegorushkin
Здравствуйте, MaximE, Вы писали:
ME>На машину, которая имеет доступ в сеть, я поставил proxy + nat (iptables). Интерфейс eth0 — локальная сеть, eth1 — интернет. На интерфейсе eth1 все порты закрыты. Как сканированием портов из интернета определить, что это proxy?
В вашем случае сканирование не поможет. Если грамотно всё настроить определить ооочень сложно и практически невозможно.
В случае с прокси, можно сниффить запросы и смотреть заголовки, прокси сервера частенько там вставляют от себя что-нибудь.
В случае с НАТ, аналогично, сниффить и смотреть TTL. Но если вы знаете про это, можно опять же поднастроить системы, чтобы не компрометировать себя по TTL, + некоторые системы умеют менять TTL проходящих через них пакетов.
Далее, вспомним как ещё может проявлять себя NAT. Опять же снифить и смотреть содержимое пакетов, к примеру, FTP может выдать ваши машины, находящиеся за NAT'ом. Ещё некоторые протоколы. Можно смотреть по характеру изменения портов источника запроса, но это уже на грани фантастики.
Здравствуйте, butcher, Вы писали:
B>Здравствуйте, MaximE, Вы писали:
ME>>На машину, которая имеет доступ в сеть, я поставил proxy + nat (iptables). Интерфейс eth0 — локальная сеть, eth1 — интернет. На интерфейсе eth1 все порты закрыты. Как сканированием портов из интернета определить, что это proxy?
[snip]
B>Можно смотреть по характеру изменения портов источника запроса, но это уже на грани фантастики.
Да нет, ничего фантастического. Есть специфические случаи, когда изменение номера порта источника выдаст наличиет NAT. Например NTP. Протокол предусматривает, что запросы посылаются на порт 123 и с порта 123. Если мы увидим NTP запрос с левого порта, то это даст веские основания для подозрений.
Но в целом я согласен, вряд ли стоит ожидать от сотрудников "районной локалки" внимательного анализа с целью выявления NAT'ов и proxy — мы все прекрасно знаем, как эти сети строятся и кем эксплуатируются.
Здравствуйте, O-Sam, Вы писали:
OS>Рубить к чёртовой бабушке попытки заломиться куда-либо извне, и будет счастье. Я имел ввиду, может по содержимому пакетов становится ясно что они идут через прокси? Стандартные заголовки какие-нибудь там, или ещё чего... Прокси ведь наверняка в запросы суёт какую-то стандартную оберточную информацию...
Есть есть на память сказать не могу курить RFC-... Так же может выдать поле "User-Agent:" — адимн будет смеятся если данном поле будут появляться 3 разных клента.
Кстати есть более сложный, но более действенный способ — статистический сбор данных о трафике. Никому не секрет что трафик обычного пользователя можно описать неким набором из N — характеристик (например количество HTTP запросов к информационному ресурсу в минуту, ичпользуемые протоколы и объем их использования и т.п. за перечисление характеристик мне никто не платит Ж)) данный профиль строится ну и т.д.... То есть если вы играете в CS а в это время ваш брат решил почититать новости.... то у вас получится очень необычный профиль по протоколам....ну вы сами понимаете последствия
Здравствуйте, road_runner, Вы писали:
_>Здравствуйте, O-Sam, Вы писали:
_>Есть есть на память сказать не могу курить RFC-... Так же может выдать поле "User-Agent:" — адимн будет смеятся если данном поле будут появляться 3 разных клента. _>Кстати есть более сложный, но более действенный способ — статистический сбор данных о трафике. Никому не секрет что трафик обычного пользователя можно описать неким набором из N — характеристик (например количество HTTP запросов к информационному ресурсу в минуту, ичпользуемые протоколы и объем их использования и т.п. за перечисление характеристик мне никто не платит Ж)) данный профиль строится ну и т.д.... То есть если вы играете в CS а в это время ваш брат решил почититать новости.... то у вас получится очень необычный профиль по протоколам....ну вы сами понимаете последствия
Насчёт агентов — в дуал-бут мульти-юзер у меня бывает 5: два брата Лиса, две Оперы (и не сестры, кажется) и ослик И-Е. Изредка — Links/lynx/Dillo. Как-то так складывается... И с одного компа!
Можно покосить под параноика — завести 3proxy для выстраивания socks-цепочки (ох, и долго искать открытый халявный socks-proxy...), после чего в запросах появится система — все к прокси...
road_runner пишет: > Здравствуйте, O-Sam, Вы писали: > > OS>Рубить к чёртовой бабушке попытки заломиться куда-либо извне, и будет счастье. Я имел ввиду, может по содержимому пакетов становится ясно что они идут через прокси? Стандартные заголовки какие-нибудь там, или ещё чего... Прокси ведь наверняка в запросы суёт какую-то стандартную оберточную информацию... > > Есть есть на память сказать не могу курить RFC-... Так же может выдать поле "User-Agent:" — адимн будет смеятся если данном поле будут появляться 3 разных клента. > Кстати есть более сложный, но более действенный способ — статистический сбор данных о трафике. Никому не секрет что трафик обычного пользователя можно описать неким набором из N — характеристик (например количество HTTP запросов к информационному ресурсу в минуту, ичпользуемые протоколы и объем их использования и т.п. за перечисление характеристик мне никто не платит Ж)) данный профиль строится ну и т.д.... То есть если вы играете в CS а в это время ваш брат решил почититать новости.... то у вас получится очень необычный профиль по протоколам....ну вы сами понимаете последствия
Я играю в СS, fetchmail тянет почту, wget лазит по сети, leafnode читает
ньюзы.
