Freesco, NND, CDN, EOS

mam pewne podejrzenia że ludzie udostępniają "swój" internet innym, rozprowadzają go dalej powodując dodatkowe obciążenie naszej lokalnej sieci
Czy instnieją programy, lub może jakieś pakiety aby temu zapobiec/wykryć? jak sie do tego zabrać? i jaki jest najprostszy sposób na wykrycie takiego czegoś

_________________
lookasz

wejśc na chatę i zajrzec na to gdzie wychodza kabelki, a dla pewności i spokoju na serwerze załóż pakiet arp (pod linuxem) gdzie adresy mac przypisane do IP uniemożliwią przekazywanie pakietow dalej ... ja kto zrobic czytaj na www.freesco.pl szukaj arp

no nie zupełnie oto mi chodziło

sieć jest zabezpieczona przed podpinaniem się innych (arp+dhcp+reguły firewalla) ale oto czy ktoś na karcie ode mnie (która ma dostęp do sieci po MAC) nie postawił np. kolejnego freesco i ma kilka komputerów za NATem ? jak zobaczyć tamte komputery ?

teoretycznie program GG sprawdza to bo pokazuje czy ktoś jest za natem ale zakładając że nie znam nr. gg innych użytkowników sieci jak zobaczyć czy ktoś nie zrobił sieci bazując na moim podłączeniu ???

_________________
lookasz

moze i nei o to, ale napisalem - wejdz na chate i sprawdz, a jesli za daleko to podjedz autkiem, jak kolesia nie bedzie w domu zbyt czesto to wytnij mu neta, jak sie poskarzy - razem z nim pojdziesz sprawdzic kompa do domu, i tam wyczaisz co i jak, jesli nei masz regulaminu, to zrob spotkanie zalozycieli sieci - wezwij "zlodzieja" i postrasz, ze zostanie odciety - koniec !! jesli masz regulamin to wiesz co robic - karac, ciac kable - wypierdalac zlodzieja !!

chciałem subtelniej, bardzie profesjonalnie ))

wiem że podajesz najskuteczniejszą metodę

_________________
lookasz

ucz się od najlepszych- zrób regulamin taki jak tepsa i wpisz punkt "abonent jest zobowiązany do uiszczenia opłaty karnej w wysokości x razy abonament w przypadku udostępniania połączenia internetowego. Powinno trochę odstraszyć. Albo ,tak jak napisał mateo, odłącz go, ale nie czekaj aż się poskarży, tylko od razu idź do gościa i powiedz,że jest chwilowa awaria i musisz przetestować gniazdko jak gościu przypadkiem byłby czysty, to dla jaj wymień wtyczkę,że niby teraz inaczej trzeba było podłączyć

ale jednak dalej podrąże temat

czy jest jakiś "prosty" software`owy sposób? a nie od razu hardware do ręki i bij zabij

jako admin powinienem wiedzieć co w sieci piszczy, i chciałbym to zrobić pocichutku NA RAZIE

czy w logach np. cos widać? czego szukać i jak to zinterpretować?

_________________
lookasz

gdybys miał mrtg i zauwazył nagły wzrost (od czasu podejrzen) to mialbys prosty wykres, ktory sam sie wczasiepatrzenia interpretuje, a po za tym jak udostepnia, to musialby miec kompa 24 ha na dobe wlaczony ... wiec moze jakass tatystyka (np.: ping'owaniem pod mysql'a - czy co tam innego) by pomogła .. widziałbys ile komp siedzi .. kto bowiem o zdrowych zmysłach (po za adminem) ma kompa włšcoznego na 24 ha

sprawdz przez netstat -M:


Jesli połaczenia bedą z nienaturalnie wysokich portów to znak, że maskarada moze byc uzywana.
U mnie komp inicjuje z portu 1060 a po maskaradzie robi sie 62002
tak robi freesco, nie wiem jak udostepnianie windows i inne linuxy
Ponadto mozna wykorzystac TTL

przeczytaj to:
http://www.linuxfan.pl/dyskusje/2001.5/maskarada.php3

_________________
lookasz

Trochę się spóźniłem, bo zciech mnie wyręczył, ale dodam od siebie, że wystarczy komendai też zobaczymy czy chodzi za maskaradą.
Zakładasz wówczas blokadę na górny zakres portów (w tym miejscu mam nadzieję, że zciech zapoda regułkę) i gość przyjdzie na skargę, że mu net nie działa.
Oczywiście może się tłumaczyć, że zainstalował sobie firewall który tak właśnie działa, wtedy możesz mu zaproponować inny program o podobnym działaniu nie podbijający portów i gościu będzie ugotowany.

_________________
Zawsze znajdzie się ktoś, kto nie wie, że tego się nie da zrobić - I to zrobi

Kipa
http://www.FreeSCO.w.pl

a czy da sie zrobic zeby freesco zapisywalo na biezaco powiedzmy co minute takie dane do pliku. tzn gdzie sie dane ip laczy z jakim portem.
chyba ze jest do tego jakis program?

Wszystkie połączenia z Ten_IP będziesz miał w logu.
UWAGA moze tego byc bardzo dużo.

ok, sprawdziłem i zaniepokoiło mnie to:



tcp 58:03.43 vasya.Home 192.168.1.100 1376 (62534) -> 1214
tcp 74:29.05 vasya.Home 192.168.254.15 1900 (63048) -> 2348
tcp 74:29.05 vasya.Home 192.168.1.17 1901 (63049) -> 1214
tcp 74:45.17 vasya.Home 192.168.1.100 1902 (63050) -> 1214
tcp 58:49.39 vasya.Home 192.168.1.9 1380 (62542) -> 1214
tcp 90:13.41 vasya.Home www.wp.pl 2030 (63358) -> http

a o co w tym chodzi?!? nie mam w sieci kompa o nazwie "vasya.Home" - i jeżeli dobrze rozumuję to właśnie taki komp w sieci lata sobie po wszystkicg IP i prubuje sie z nimi połączyć?!? czy tak? czy to może być wirus u jednego z użytkowników? jak pinguję vasya.Home to pokazuje mi adres IP kompa w mojej sieci więc wiem kto to jest, ale w otoczeniu sieciowym ten komp/użytkownik ma zupełnie inną nazwę. Może mi to ktoś wytłumaczyć/ potwierdzić moje przypuszczenia można mieć kilka nazw w sieci?!?

_________________
lookasz

Masz, masz to 192.168.0.8

Jakiej komendy to wynik do ten zapis jest dziwny:
1376 (62534) -> 1214
powinno być:

tcp 8:29.41 10.3.51.67 24.100.109.61 1308 -> 1448 (62027)


To połaczenia Kazy czy innego P2P

nic w tym nie wskazuje na udostepnianie.

ok, nie chodzi mi teraz czy ten komp udostępnia internet tylko czemu próbuje otwierać różne porty na IP z zakresu sieci? mam pełno takich wpisów z jego adresu?!?

_________________
lookasz

Kaza, kaza, kazunia
Cuda, cuda, cudeńka

uff

_________________
lookasz

Ten dziwny wpis zawdzięczasz jeszcze dziwniejszemu zapisywaniu przez Freesco nazw hostów i odpowidającym im numerom IP. Nie bede Ci tłumaczył jak się to dzieje, bo ktoś już to opisywał (a poza tym sam za dobrze nie wiem ),a jak bedziesz chciał to znajdziesz. Podglądnij sobie takie pliki jak /etc/named*.rev i wówczas bedzie to jaśniejsze (chyba). Najlepiej zrezygnuj z tego rozwiązania i zrób sobie jeden plik hosts, np. wg wskazówek Kipy (na jego stronie)
A co do maskarady, to rzeczywiście ciężko to komuś udowodnić, gdyż można używać jej również do własnych potrzeb (np. Vmware, lub podłączenie laptopa), więc najlepiej dogadać sie z gościem, lub postępować wg zaleceń mateo_real.

dobra a co wlepac gdy chce zaprzestac zapisywania polaczen dla tego IP w tym pliku??