当前时区为 UTC + 8 小时



发表新帖 回复这个主题  [ 33 篇帖子 ]  前往页数 1, 2, 3  下一页
作者 内容
1 楼 
 文章标题 : [求助]怎么禁止局域网内通过ccproxy再次代理上网
帖子发表于 : 2008-07-25 21:19 
头像

注册: 2006-04-11 8:36
帖子: 141
送出感谢: 0 次
接收感谢: 0 次
按照领导要求

按照咱们论坛的方法,已经设置好包转发
已经通过iptables的方式,限制了只有部分计算机可以访问外网,
然后用arp -f绑定了mac地址

一时间,马上有人就在自己的机器上装了ccproxy
然后供其他不能上网的人,进行二次代理上外网

不知道各位贤达,有没有什么好的办法,
比如继续用iptables或者其他的方式,禁止这种二次代理?

多谢多谢


页首
 用户资料  
 
2 楼 
 文章标题 :
帖子发表于 : 2008-07-25 22:28 

注册: 2006-09-24 4:37
帖子: 2138
送出感谢: 0 次
接收感谢: 1
如果要不能通过ccproxy再次代理上网,肯定是要限制不能上网的机器不能连接那些可以上网的ccproxy机器了。
但你是公司局域网,肯定不能限制局域网连接了,这样不就自相矛盾了么?所以应该没有办法了。


页首
 用户资料  
 
3 楼 
 文章标题 :
帖子发表于 : 2008-07-28 9:10 
头像

注册: 2006-04-11 8:36
帖子: 141
送出感谢: 0 次
接收感谢: 0 次
jimmin 写道:
如果要不能通过ccproxy再次代理上网,肯定是要限制不能上网的机器不能连接那些可以上网的ccproxy机器了。
但你是公司局域网,肯定不能限制局域网连接了,这样不就自相矛盾了么?所以应该没有办法了。


这么郁闷啊,有没有办法把包内的东西分析一下,然后过滤呢?


页首
 用户资料  
 
4 楼 
 文章标题 :
帖子发表于 : 2008-07-28 13:28 

注册: 2007-08-27 17:31
帖子: 445
送出感谢: 0 次
接收感谢: 1
ccproxy本身就有设置2级代理的功能,只要它能上网,那么它的代理就可以运行,分析包你可以查找资料,不过难度比较高,而且客户有通信自由和保密权力,这就跟拆别人信一个道理,你可以在ip地址上入手,让它不能有固定的ip,
那么它所代理的客户就会疲于奔命,因为客户需要设置它的服务器ip为网关,你可以用cron自动的使dhcp服务分配给不同的ip或着随时变动子网,防止它设定固定ip,只要你能自由操作它的ip,就可以玩死它


_________________
你能学会世界上所有语言来叫一种鸟的名字,当你知道所有这些名字叫法后,却对这种鸟一无所知~
理查德-费曼


页首
 用户资料  
 
5 楼 
 文章标题 :
帖子发表于 : 2008-07-29 9:14 
头像

注册: 2006-04-11 8:36
帖子: 141
送出感谢: 0 次
接收感谢: 0 次
angelus 写道:
ccproxy本身就有设置2级代理的功能,只要它能上网,那么它的代理就可以运行,分析包你可以查找资料,不过难度比较高,而且客户有通信自由和保密权力,这就跟拆别人信一个道理,你可以在ip地址上入手,让它不能有固定的ip,
那么它所代理的客户就会疲于奔命,因为客户需要设置它的服务器ip为网关,你可以用cron自动的使dhcp服务分配给不同的ip或着随时变动子网,防止它设定固定ip,只要你能自由操作它的ip,就可以玩死它


多谢多谢,我再想想其他的办法


页首
 用户资料  
 
6 楼 
 文章标题 :
帖子发表于 : 2008-08-05 9:56 

注册: 2008-08-05 9:29
帖子: 41
送出感谢: 0 次
接收感谢: 0 次
waxmax 写道:
angelus 写道:
ccproxy本身就有设置2级代理的功能,只要它能上网,那么它的代理就可以运行,分析包你可以查找资料,不过难度比较高,而且客户有通信自由和保密权力,这就跟拆别人信一个道理,你可以在ip地址上入手,让它不能有固定的ip,
那么它所代理的客户就会疲于奔命,因为客户需要设置它的服务器ip为网关,你可以用cron自动的使dhcp服务分配给不同的ip或着随时变动子网,防止它设定固定ip,只要你能自由操作它的ip,就可以玩死它


多谢多谢,我再想想其他的办法


我来回答吧,

我就在用ccproxy打理整个公司,歪鸟也多,不少人就在公用机器上安装ccproxy代理自己上网。

二级代理确实烦人,也不好去同事那里关他的机啊

虽然用ccproxy管理,但是可以在ubuntu下启发同样的思路

1,windows下嗅探 sniffer,winarp可以发现是哪台机器收发包,根据总流量大小可以定位机器mac地址,要排除单位代理服务器,交换机等网络服务设备。

2,发现后可以利用“连接数”和“带宽”来控制 在ccproxy中可以对这个帐号修改

先说“连接数“

比如,我可以把私设ccproxy的电脑连接数改成10-----最多开10个连接(10个页面),10个连接,你和楼下的哥们共用吧,多了就是一空白页面,他下载你空白你玩网游他空白或者两个只看网页还要担心对方是不是开多了页面

自然会有人找来----你可以对他说升级了软件,有自动降速功能,可以发现某些代理木马之类的,如果无意被安了这样的木马(一定要置他于无辜者地位阿)要赶快杀毒,卸载,过一段时间软件会慢慢恢复速度的(一段是多长??7天后再说吧)

再说“带宽”

更简单了,限速10k/s,一样声明软件智能降速了,让他代理去吧,10k/s一个人都嫌慢阿。

因为我才入手ubuntu,所以不能给你更多的帮助了,不妨从带宽和连接数入手,就是这个思路。

我在ubuntu论坛上学了好多东西,linux真是个奇妙的系统阿!虽然我才进入11天。


页首
 用户资料  
 
7 楼 
 文章标题 :
帖子发表于 : 2008-08-05 10:11 
头像

注册: 2006-04-11 8:36
帖子: 141
送出感谢: 0 次
接收感谢: 0 次
谢谢楼上的兄弟,
你说的几个方法,我这就试试~

多谢多谢!


页首
 用户资料  
 
8 楼 
 文章标题 :
帖子发表于 : 2008-08-05 10:38 
头像

注册: 2005-12-10 17:36
帖子: 336
地址: 北京市海淀区上地十街辉煌国际
送出感谢: 0 次
接收感谢: 0 次
就因为有你们这样的人,导致我们用linux的不能上网..........................................TMD


_________________
Laptop:HP Compaq Presario V3210AU
OS:Gentoo openbox+stalonetray+rox-filer+gmrun+mplayer+firefox+ibus+sonata+tilda
Phone:Orange Dopod 838+ SPV C600
OS:Windows Mobile 6.1


页首
 用户资料  
 
9 楼 
 文章标题 :
帖子发表于 : 2008-08-05 11:03 

注册: 2007-08-27 17:31
帖子: 445
送出感谢: 0 次
接收感谢: 1
对代理的服务端来说,客户用linux和用win有区别吗?如果公司给你上网的权利,你用外星操作系统一样可以
客户非法代理本身就是置公司规定于不故的做法,必要的限制是必须的!


_________________
你能学会世界上所有语言来叫一种鸟的名字,当你知道所有这些名字叫法后,却对这种鸟一无所知~
理查德-费曼


页首
 用户资料  
 
10 楼 
 文章标题 :
帖子发表于 : 2008-08-05 11:33 
头像

注册: 2006-04-11 8:36
帖子: 141
送出感谢: 0 次
接收感谢: 0 次
tenfar 写道:
就因为有你们这样的人,导致我们用linux的不能上网..........................................TMD


立场不同,你要是公司老板给你压着说,
上网要限制,你说你怎么办!

做网管也没有办法啊 ...............................................NND


页首
 用户资料  
 
11 楼 
 文章标题 :
帖子发表于 : 2008-08-05 11:34 
头像

注册: 2006-04-11 8:36
帖子: 141
送出感谢: 0 次
接收感谢: 0 次
angelus 写道:
对代理的服务端来说,客户用linux和用win有区别吗?如果公司给你上网的权利,你用外星操作系统一样可以
客户非法代理本身就是置公司规定于不故的做法,必要的限制是必须的!


那些能上网的win的机器,还好我有管理权,我把安装ccproxy禁止一下好了.


页首
 用户资料  
 
12 楼 
 文章标题 : Re: [求助]怎麼禁止局域網內通過ccproxy再次代理上網
帖子发表于 : 2008-08-05 12:39 

注册: 2006-09-11 22:47
帖子: 2841
送出感谢: 0 次
接收感谢: 4
waxmax 写道:
按照領導要求
按照咱們論壇的方法,已經設置好包轉發
已經通過iptables的方式,限制了只有部分計算機可以訪問外網,
然後用arp -f綁定了mac地址
一時間,馬上有人就在自己的機器上裝了ccproxy
然後供其他不能上網的人,進行二次代理上外網
不知道各位賢達,有沒有什麼好的辦法,
比如繼續用iptables或者其他的方式,禁止這種二次代理?
多謝多謝


我推荐的办法是:不要使用技术手段解决管理问题。

直接规定:不允许安装二级代理,一旦被查出则扣工资扣奖金,并且取消其上网权限。然后OK。——不定期检查就行。

——当然,代理本身意味着向该机器的特定端口发送请求,你只要写一个程序定期检查所有机器是否开放了代理服务就行。——主要还是靠管理手段。


页首
 用户资料  
 
13 楼 
 文章标题 :
帖子发表于 : 2008-08-05 13:14 

注册: 2006-08-28 9:08
帖子: 749
地址: 安徽/安庆
送出感谢: 0 次
接收感谢: 0 次
讨论这些问题真的很无聊,
你现在在讨论怎么禁止他上网,
过了N久以后,
有朝一日你不是网管了,
你发现公司用当年你的办法禁止你上网,
于是你又来发帖子求助了,
要怎么样才能让自己上网了,
做一个网管管好网络就是了,
管人干嘛?


页首
 用户资料  
 
14 楼 
 文章标题 :
帖子发表于 : 2008-08-05 14:19 
头像

注册: 2006-04-11 8:36
帖子: 141
送出感谢: 0 次
接收感谢: 0 次
引火虫 写道:
讨论这些问题真的很无聊,
你现在在讨论怎么禁止他上网,
过了N久以后,
有朝一日你不是网管了,
你发现公司用当年你的办法禁止你上网,
于是你又来发帖子求助了,
要怎么样才能让自己上网了,
做一个网管管好网络就是了,
管人干嘛?


本来就是讨论技术层面的事情,跟行政管理没有什么关系吧
我只是做好我的本职工作而已.


页首
 用户资料  
 
15 楼 
 文章标题 :
帖子发表于 : 2008-08-05 14:58 

注册: 2006-08-28 9:08
帖子: 749
地址: 安徽/安庆
送出感谢: 0 次
接收感谢: 0 次
我不知道网管为什么要禁止别人上网,
而这个网管却在用着ubuntu系统,(这好像不是ubuntu精神。)
网管的职责是利用自己所学的技术,保障网络的畅通,
而不是用手中权力禁止别人上网,

Ubuntu 精神的大意是“人道待人”(对他人仁慈)。另一种翻译可以是:“天下共享的信念,连接起每个人”。
“具有 ubuntu 精神的人心胸开阔,乐于助人,见贤思齐而不忌妒贤能,因为他/她拥有适度的自信,而这源自如下认识:自己乃是属于一个更大的整体,当他人受到伤害或死去时,当他人受到折磨或压迫时,这个整体就会消失。”


页首
 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 33 篇帖子 ]  前往页数 1, 2, 3  下一页

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 4 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
本站点为公益性站点,用于推广开源自由软件,由 DiaHosting VPSBudgetVM VPS 提供服务。
我们认为:软件应可免费取得,软件工具在各种语言环境下皆可使用,且不会有任何功能上的差异;
人们应有定制和修改软件的自由,且方式不受限制,只要他们自认为合适。

Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
简体中文语系由 王笑宇 翻译