[求助]怎么禁止局域网内通过ccproxy再次代理上网

waxmax · #1

按照领导要求

按照咱们论坛的方法，已经设置好包转发
已经通过iptables的方式，限制了只有部分计算机可以访问外网，
然后用arp -f绑定了mac地址

一时间，马上有人就在自己的机器上装了ccproxy
然后供其他不能上网的人，进行二次代理上外网

不知道各位贤达，有没有什么好的办法，
比如继续用iptables或者其他的方式，禁止这种二次代理？

多谢多谢

jimmin · #2

如果要不能通过ccproxy再次代理上网，肯定是要限制不能上网的机器不能连接那些可以上网的ccproxy机器了。
但你是公司局域网，肯定不能限制局域网连接了，这样不就自相矛盾了么？所以应该没有办法了。

waxmax · #3

jimmin 写了：如果要不能通过ccproxy再次代理上网，肯定是要限制不能上网的机器不能连接那些可以上网的ccproxy机器了。
但你是公司局域网，肯定不能限制局域网连接了，这样不就自相矛盾了么？所以应该没有办法了。

这么郁闷啊,有没有办法把包内的东西分析一下,然后过滤呢?

angelus · #4

ccproxy本身就有设置2级代理的功能，只要它能上网，那么它的代理就可以运行，分析包你可以查找资料，不过难度比较高，而且客户有通信自由和保密权力，这就跟拆别人信一个道理，你可以在ip地址上入手，让它不能有固定的ip,
那么它所代理的客户就会疲于奔命，因为客户需要设置它的服务器ip为网关，你可以用cron自动的使dhcp服务分配给不同的ip或着随时变动子网，防止它设定固定ip，只要你能自由操作它的ip，就可以玩死它

waxmax · #5

angelus 写了：ccproxy本身就有设置2级代理的功能，只要它能上网，那么它的代理就可以运行，分析包你可以查找资料，不过难度比较高，而且客户有通信自由和保密权力，这就跟拆别人信一个道理，你可以在ip地址上入手，让它不能有固定的ip,
那么它所代理的客户就会疲于奔命，因为客户需要设置它的服务器ip为网关，你可以用cron自动的使dhcp服务分配给不同的ip或着随时变动子网，防止它设定固定ip，只要你能自由操作它的ip，就可以玩死它

多谢多谢,我再想想其他的办法

及时雨天 · #6

waxmax 写了：
angelus 写了：ccproxy本身就有设置2级代理的功能，只要它能上网，那么它的代理就可以运行，分析包你可以查找资料，不过难度比较高，而且客户有通信自由和保密权力，这就跟拆别人信一个道理，你可以在ip地址上入手，让它不能有固定的ip,
那么它所代理的客户就会疲于奔命，因为客户需要设置它的服务器ip为网关，你可以用cron自动的使dhcp服务分配给不同的ip或着随时变动子网，防止它设定固定ip，只要你能自由操作它的ip，就可以玩死它
多谢多谢,我再想想其他的办法

我来回答吧，

我就在用ccproxy打理整个公司，歪鸟也多，不少人就在公用机器上安装ccproxy代理自己上网。

二级代理确实烦人，也不好去同事那里关他的机啊

虽然用ccproxy管理，但是可以在ubuntu下启发同样的思路

1，windows下嗅探 sniffer，winarp可以发现是哪台机器收发包，根据总流量大小可以定位机器mac地址，要排除单位代理服务器，交换机等网络服务设备。

2，发现后可以利用“连接数”和“带宽”来控制在ccproxy中可以对这个帐号修改

先说“连接数“

比如，我可以把私设ccproxy的电脑连接数改成10－－－－－最多开10个连接（10个页面），10个连接，你和楼下的哥们共用吧，多了就是一空白页面，他下载你空白你玩网游他空白或者两个只看网页还要担心对方是不是开多了页面

自然会有人找来－－－－你可以对他说升级了软件，有自动降速功能，可以发现某些代理木马之类的，如果无意被安了这样的木马（一定要置他于无辜者地位阿）要赶快杀毒，卸载，过一段时间软件会慢慢恢复速度的（一段是多长？？7天后再说吧）

再说“带宽”

更简单了，限速10k/s，一样声明软件智能降速了，让他代理去吧，10k/s一个人都嫌慢阿。

因为我才入手ubuntu，所以不能给你更多的帮助了，不妨从带宽和连接数入手，就是这个思路。

我在ubuntu论坛上学了好多东西，linux真是个奇妙的系统阿！虽然我才进入11天。

waxmax · #7

谢谢楼上的兄弟,
你说的几个方法,我这就试试~

多谢多谢!

tenfar · #8

就因为有你们这样的人,导致我们用linux的不能上网..........................................TMD

angelus · #9

对代理的服务端来说，客户用linux和用win有区别吗？如果公司给你上网的权利，你用外星操作系统一样可以
客户非法代理本身就是置公司规定于不故的做法，必要的限制是必须的！

waxmax · #10

tenfar 写了：就因为有你们这样的人,导致我们用linux的不能上网..........................................TMD

立场不同,你要是公司老板给你压着说,
上网要限制,你说你怎么办!

做网管也没有办法啊 ...............................................NND

waxmax · #11

angelus 写了：对代理的服务端来说，客户用linux和用win有区别吗？如果公司给你上网的权利，你用外星操作系统一样可以
客户非法代理本身就是置公司规定于不故的做法，必要的限制是必须的！

那些能上网的win的机器,还好我有管理权,我把安装ccproxy禁止一下好了.

poet · #12

waxmax 写了：按照領導要求
按照咱們論壇的方法，已經設置好包轉發
已經通過iptables的方式，限制了只有部分計算機可以訪問外網，
然後用arp -f綁定了mac地址
一時間，馬上有人就在自己的機器上裝了ccproxy
然後供其他不能上網的人，進行二次代理上外網
不知道各位賢達，有沒有什麼好的辦法，
比如繼續用iptables或者其他的方式，禁止這種二次代理？
多謝多謝

我推荐的办法是：不要使用技术手段解决管理问题。

直接规定：不允许安装二级代理，一旦被查出则扣工资扣奖金，并且取消其上网权限。然后OK。——不定期检查就行。

——当然，代理本身意味着向该机器的特定端口发送请求，你只要写一个程序定期检查所有机器是否开放了代理服务就行。——主要还是靠管理手段。

引火虫 · #13

讨论这些问题真的很无聊，
你现在在讨论怎么禁止他上网，
过了N久以后，
有朝一日你不是网管了，
你发现公司用当年你的办法禁止你上网，
于是你又来发帖子求助了，
要怎么样才能让自己上网了，
做一个网管管好网络就是了，
管人干嘛？

waxmax · #14

引火虫写了：讨论这些问题真的很无聊，
你现在在讨论怎么禁止他上网，
过了N久以后，
有朝一日你不是网管了，
你发现公司用当年你的办法禁止你上网，
于是你又来发帖子求助了，
要怎么样才能让自己上网了，
做一个网管管好网络就是了，
管人干嘛？

本来就是讨论技术层面的事情,跟行政管理没有什么关系吧
我只是做好我的本职工作而已.

引火虫 · #15

我不知道网管为什么要禁止别人上网，
而这个网管却在用着ubuntu系统，（这好像不是ubuntu精神。）
网管的职责是利用自己所学的技术，保障网络的畅通，
而不是用手中权力禁止别人上网，

Ubuntu 精神的大意是“人道待人”（对他人仁慈）。另一种翻译可以是：“天下共享的信念，连接起每个人”。
“具有 ubuntu 精神的人心胸开阔，乐于助人，见贤思齐而不忌妒贤能，因为他/她拥有适度的自信，而这源自如下认识：自己乃是属于一个更大的整体，当他人受到伤害或死去时，当他人受到折磨或压迫时，这个整体就会消失。”

[求助]怎么禁止局域网内通过ccproxy再次代理上网

[求助]怎么禁止局域网内通过ccproxy再次代理上网

Re: [求助]怎麼禁止局域網內通過ccproxy再次代理上網