След дълго чакане някой да ми предложи някакъв читав нет в квартала реших да спретна едно малко ЛАН-че. И се замислих над факта. Ако някой ден мрежата се поразрасне и вече няма да може да се следи дали някой не си е закачил нелегално кабелче какви защити вършат най-ефикасна работа.
Вариантите за които си мисля са:
1. Защита по МАС адрес. Май не върши много работа по обясними причини.
2. VPN със енкрипнати пароли. Звучи ми доста добре като идея.
3?
3. ipchains или iptables (предполага се, че си с Linux)
Идеята е следната: "отрязваш" достъпа на цялата мрежа, после пускаш един по един хостовете, към които искаш да има трафик, с отделно правило. Можеш да опиташ и комбинация със защита по MAC-адрес, така ще е още по-сигурно. А има и готови програмки за целта, ако проявяваш интерес и си готов да си платиш.
Тези методи мен не могат да ме спрат. А и не се сещам изобщо за нещо което да може...
Проблема е основно че някой ще рутира с PC с две мрежови карти(или дори една с 2 IP-та []) отколкото да се включи директно към твоята мрежа. Според мен заложи на MAC адресите, с VPN само ще се изчекнеш излишно.
<blockquote id="quote"><font size="1" id="quote"><b id="quote">цитат:</b id="quote"></font id="quote"><table border="0" id="quote"><tr id="quote"><td class="quote" id="quote"><font size="1" id="quote">3. ipchains или iptables (предполага се, че си с Linux)
Идеята е следната: "отрязваш" достъпа на цялата мрежа, после пускаш един по един хостовете, към които искаш да има трафик, с отделно правило. Можеш да опиташ и комбинация със защита по MAC-адрес, така ще е още по-сигурно. А има и готови програмки за целта, ако проявяваш интерес и си готов да си платиш.
<div align="right">оргинално мнение на Slero</div id="right">
</td id="quote"></tr id="quote"></table id="quote"></blockquote id="quote"><font size="2" id="quote"></font id="quote">
Това ми е ясно. Въпроса е в следното - няма по-лесно нещо от това да смениш мак адреса на най-разпространените в момента карти, примерно rtl8139, bc001 и да се направиш на някой друг в мрежата.
2DК VPN-а засега е най трудно трошимата защита за която се сещам
а за предпазване от това някой да рутира варианта е лесен - слагаш транспарентно прокси режеш по 4 сесии на юзър и изобщо не те е*е кой какво е направил и с колко лан карти [8D]
Аз лично ползвам 1+2, т.е. VPN+MAC.
Но ме интересува не е ли много рисковано това с конекциите?
IE отваря много конекции (а и не само той). Когато тествах преди време, не 4, ами 40 ми трябваха за безпроблемна работа. Ако се ограничат примерно на 15, то разликата между 12 и 15 не е особена, и спокойно могат да се пуснат 3 download-а, а останалите 12 да се ползват за други неща без особена разлика в качеството.
4 сесии на юзер никой няма да може да работи иначе е доста примамливо
1. ICQ - прави около 6 сесии.
2. Browser (за IE не знам не го ползвам
3. Download Manager ... ако не се изхвърля е нормално 2 сесии.
---------------------
смятам че 13-14 сесии е оптимално.... за не му е гадно на юзера...
но дори с 4 сесии
---------------------
Това с транспарентното прокси мисля че може да се презкочи но е доста трудно.... според мен дори невъзможно за простите юзери
Най-тарикатско си е да ги таксуваш на Мегабайт това е единствения сигурен начин, че никой няма да те краде.
Мдаа, в основни линии DeathKnight, казва самата истина, ако поискат, юзерите луд могат да те направят, че и спасение няма!
VPN е най-добре, от гледна точка на това за, което питаш.
Не ограничавай сесиите на по-малко от 50. Просто ако някой играе в headoff например, ще се разписка веднага.
-------------
Ха, ха...сетих се кое е само по-сигурно.....до всеки юзер отделно UTP и всичките при тебе, в 32 портов суич например, така наречения hardware контрол :-)))
Докторе тфа добре ама по половин километър кабел на юзър малко сложно излиза.
Момента с ограничаването на сесиите - в добрите стари времена на уин98 и ИЕ 5.5 ИЕ-то отваряше 4 или 8 сесии едновременно, не повече. Все още доста хора карат на 98-ца въпреки че не знам ИЕ 6 как се държи в този случай. Момента с играта в Хедоф е малко кофти... имам лоши спомени от един клиент в предишната ми месторабота - той си геймеше някъде в чужбина, проксито просто не разбираше какви заявки подава той и плюеше грешки тип "invalid request".
Другия вариант за защита срещу някой който се прави на тарикат, може и да греша, може да се основаве на идеята че ТСР пакетите които минават през един рутър би трябвало да изглеждат различно?
Има и друг начин, терминален сървър и всички ползват интернета на сервера директно [
100% сигурен, но тогава всички ще теглят 24ч. с активни терминали хеххе което е много по-гадно. (за щастие има лимит колко време да седи активна сесията след като юзера се откачи)
Аз ползвам косвени методи - е, по-трудно се автоматизират, но са по-сигурни и непредвидими от юзерите. Например сканиране на мрежата и сравняване на данните от компютрите, sniffing на пакетите, често отваряни уеб-адреси и т. н. Трудно ще ме убеди някой, че изведнъж 50-годишен бизнесмен е почнал да тегли клипове на Шакира и това е нормално... Един телефон и всичко се изяснява.
WISP това изисква много усилия... иначе и аз прилагам метода с ISAmonitor и клещите секачки.
Fori, я най-добре се откажи [
<blockquote id="quote"><font size="1" id="quote"><b id="quote">цитат:</b id="quote"></font id="quote"><table border="0" id="quote"><tr id="quote"><td class="quote" id="quote"><font size="1" id="quote">WISP това изисква много усилия... иначе и аз прилагам метода с ISAmonitor и клещите секачки.
Fori, я най-добре се откажи [
<div align="right">оргинално мнение на DeathKnight</div id="right">
</td id="quote"></tr id="quote"></table id="quote"></blockquote id="quote"><font size="2" id="quote"></font id="quote">
DK Идеята е да си докарам някакъв нормален нет желателно за без пари до вкъщи [:D] че нито кабелната ме влече като идея нито някой от кварталните ланове ще стигне скоро до нас
WISP принципно с малко повече усилия това може да се автоматизира до някаква степен, ти даваш добра идея ще трябва да помисля по нея [
Ма Така кажи бе Fori, веднага ти казвам решение.... моя метод е идеален за тебе...
Фаза Първа
Значи, пускаш им едно DHCP, филтрираш ги по IP-та( на лизинг от DHCP-то) и се правиш на тъп... след месец най-късно ги виждаш тарикатите кои са... те ще са от тези в Лан-а които няма да искат да плащат за нет... Орязваш ги с ножичката и готово [
Фаза Втора
Тарикатите почват да се дразнят, навиват комшиите да им шерят нет... 1-2 заплахи към учтивите съседи вършат работа... както казва мъдро WISP навиците на хората не се променят, а тарикатите теглят като невиждали... не може да ги изпуснеш (освен ако наивно не си направил на Linux сървера и не можеш да обходиш логовете хеххехе, майтап бе сигурно ще се оправиш и там)
Фаза Трета
В момента в който нета ти е гот и парите стигат, спираш да се разширяваш. Просто не си струва нервите да се правиш на доставчик.
Определено ще е Линукс. Не само защото ще ми е много по-лесно да се оправя с всички дребни подробности. W2K ме плаши само като го погледна. Признавам си на няколко пъти съм се мъчил да пускам сериозен сървър под тази ос и... Явно не съм свикнал, но няколко нощи сънувах кошмари как чета хелпове. Та малко се отплеснах по технически подробности. Основната идея е - читав нет за без или за малко пари.
БТВ мрежа до 30 души се обслужва сравнително лесно - позанваш всички знаеш едва ли не къде е ковната всяка една скоба по кабелите. От там насетне става малко кофти. Пример - на предишната ми месторабота се грижих за работоспособността на мрежа от 200 - 250 компютъра равномерно диспергирани в района от аксаков до христо ботев. Е това вече беше ад...
Аз нещо не разбирам, ама защо не ограничиш трафика, или както предлага Рицар-я не го таксуваш трафика ?
Новини
Форум
Актуално
сървър