Как отучить юзеров обходить UserGate? - Сети

MeatEater · 18.11.2004, 14:44

Уважаемые,
Есть сетка с UserGate и кабельный модем, все XP SP1. Все пучком, но некоторые юзеры обходят UserGate - они могут прописать MAC своих сетевух на сайте провайдера. Там можно прописать 3 MACа, один из них всегда MAC сервера сети. Два юзера могут лезть напрямую - административные меры не дают эффекта

(домашняя сеть, негуманно...)
1. Как обеспечить выход юзеров в инет только через UserGate?
Желательно ничего не делать на машинах юзеров, если это возможно. Но думаю, что без этого никак.
2. Тогда - что делать у юзеров?
Спасибо.

teddy_val · 18.11.2004, 15:20

MeatEater
Как и где уатновлен кабельный модем? на компе с Usergate ?

MeatEater · 18.11.2004, 15:24

teddy_val
Да, на сервере 2 сетевых карты, одна через кабельный модем в инет, вторая через свитч в сетку. На сервере UserGate.

ivahaev · 18.11.2004, 15:39

Поподробнее опиши, что-то странно как-то у тебя получается. По-идее, юзеры тока через твой комп с Usergate должны ходить, а напрямую никак.
Что-то ты утаил

MeatEater · 18.11.2004, 15:58

ivahaev
Я рассказал всю правду

Юзеры железно ходят через мой комп по фтп, потому что не умеют его настроить напрямую. По хттп тоже ходят, но не все.
У провайдера есть сайт, где есть аккаунт, соответствующий моему модему. В этом аккаунте можно прописать 3 сетевухи одновременно для работы с этим конкретным модемом.
Поэтому возможна работа кустом, через сервер, но возможна и работа в 3 независимых потока. Это сделано в расчете на домашние сетки без хаба. Это фича, но в данном случае - баг и геморрой.
Я не могу зарубить возможность подключать 3 сетевухи у прова. Я могу отключить какую-нибудь сетевуху, но хитрый юзер залезет к прову и подключит. Информация об аккоунте исторически доступна всем юзерам.
Вот такая ситуевина... Надо лечить... Качают фильмы, садят канал, подрывают веру во всемогущество суперадмина

FantomIL · 18.11.2004, 16:03

Как насчет попросить прова отрубить эту фичу?
Вариант 2: поставить стенку и зарубить все обращения на сайт прова (это ведь по хттп-интерфейсу они выставляют) для всего диапазона локалки.
А вообще, как-то непонятно мне вся эта ситуация

Merlin Cori · 18.11.2004, 16:04

я чего-то тож не пойму....... если модем у тебя, то при чем здесь мас адреса? физически к модему подключена 1 сетевуха? то каким образом они могут конектится со своей?

Mg0 · 18.11.2004, 16:12

Присоединяюсь к недоумевающим... У тебя что, "сквозь" машину с модемом организовано тунелирование что ли? Так заруби его!

MeatEater · 18.11.2004, 16:40

FantomIL
С провом не договориться. У них сайт рассчитан на самостоятелное управление аккоунтом самими юзерами.
Стена типа ZoneAlarm стоит, запретить выход нет смысла, это административная мера - юзер придет и попросит включить. Придется включать.

Mg0, Merlin Cori
К модему подключена одна сетевуха. Никакого туннелирования...
Однако, не в этом ли дело: на сетевухе, которая к модему, включен ICS aka NAT или как он там в XP называется. Т.е. расшаренное соединение.
С другой стороны, без него из сети в инет имхо не выйти.

Black_NAiL · 18.11.2004, 16:46

MeatEater:
Если есть usergate, тогда зачем ICS??? Выруби.

FantomIL · 18.11.2004, 16:48

Цитата:

Сообщение от MeatEater

FantomIL
С провом не договориться. У них сайт рассчитан на самостоятелное управление аккоунтом самими юзерами.
Стена типа ZoneAlarm стоит, запретить выход нет смысла, это административная мера - юзер придет и попросит включить. Придется включать.

MeatEater
В этом случае любое отключение пдобной возможности будет административной мерой.

Цитата:

Сообщение от MeatEater

Mg0, Merlin Cori
К модему подключена одна сетевуха. Никакого туннелирования...
Однако, не в этом ли дело: на сетевухе, которая к модему, включен ICS aka NAT или как он там в XP называется. Т.е. расшаренное соединение.
С другой стороны, без него из сети в инет имхо не выйти.

Тогда отключи ICS aka NAT на сетевухе. Нафиг он тебе нужен, если прокси стоит, тем более, что у usergate свой NAT есть (если не ошибаюсь)?

MeatEater · 18.11.2004, 17:35

FantomIL, Black_NAiL

Попробовал отключить NAT - юзеры перестали выходить в инет. Даже те, которые ходили через UserGate. Что-то не то... Попробую еще вечером покрутить настройки. Вроде бы действительно UserGate имеет NAT, но как-то не идет.

Black_NAiL · 18.11.2004, 18:53

я пока у юзергада нат не видел. Может, у меня старая версия. Вообще, в виде прокси - весьма глючен.
Лучше сруби все юзергады, ICS и прочее, поставь маленький winroute pro.
Избавишься от своей проблемы.

vovik · 18.11.2004, 20:54

Я другого не пойму, а с какой стати юзеры вообще имеют доступ к настройкам аккаунта? неужели, предусмотрев такую возможность, провайдер не запаролировал ее? Ходи, кто хочет - бери, что хочешь...

MeatEater · 18.11.2004, 21:43

Black_NAiL

Спасибо, буду искать winroute pro. Как я понял, у него свой NAT есть?

vovik

Конечно, у аккаунта есть логин и пароль, просто их знают все неленивые юзеры, а ругаться с ними и менять все на свое политически невыгодно

Поэтому должен использоваться технический прием.

ivahaev · 19.11.2004, 06:53

MeatEater, юзеры по определению не должны иметь доступ к админским фичам у прова. Тут тока менять пароль и не сообщать его юзверям. А ежели они все знают, то:

Цитата:

MeatEater:
подрывают веру во всемогущество суперадмина

Никакого супермогущества нету, и не будет. Это должно административно решаться!

Black_NAiL · 19.11.2004, 09:49

Цитата:

MeatEater:
у него свой NAT есть?

Да, а также нормальный портмап.

vovik · 19.11.2004, 10:04

Цитата:

Сообщение от MeatEater

Конечно, у аккаунта есть логин и пароль, просто их знают все неленивые юзеры, а ругаться с ними и менять все на свое политически невыгодно

Поэтому должен использоваться технический прием.

Это как это все знают??? Да у меня жена дома админский пароль не знает, а тут посторонние юзеры...
Смени пароль - никому не давай. Провайдер просто так тоже никому не скажет/не вышлет (по крайней мере я с этим никогда не сталкивался).

Stunt · 19.11.2004, 12:16

фсе таки не понатна КУДА они там прописывают номера СВОИХ сетевух?? и КАК ето может вапше повлиять на обхождение user gate......

П:С: а пароли шарить неблагородное дело супермегадмина

Mg0 · 19.11.2004, 12:39

MeatEater
Не, всё-таки я туплю... Смотри, как я понимаю ситуацию:
1. Физически: есть "труба", идущая от прова к твоему модему. Есть "кран" на этой трубе -- комп, на котором стоит модем. Есть "тройник" -- сетевая карта на компе с модемом, через которую содержимое "трубы" разливается на N струек и доставляется юзерам.
2. Логически: есть "внешняя сеть", IP-адрес из которой присвоен модему. Есть внутренняя сеть, IP-адрес из которой присвоен сетевой карточке компа с модемом. Пакеты из внутренней сети роутятся во внешнюю через комп с модемом.

В этой ситуации, имхо, какие бы фичи не были включены у прова, именно ты управляешь "краном", т.е. если юзеры имеют выход только на сетевую карту, то обойти твой прокси без твоего разрешения они не смогут НИКАК.
Практически самое простое -- не связываться с "общим доступом", который предоставляет ХР, и осуществлять раздачу прогой типа WinRoute или WinGate -- они достаточно гибки в настройке, позволяют получать статистику и т.п. Или ставить W2003-сервер, там тоже эта проблема может быть решена по-человечески.

18.11.2004, 14:44	# 1
MeatEater Member Регистрация: 25.08.2002 Сообщения: 207	Как отучить юзеров обходить UserGate? Уважаемые, Есть сетка с UserGate и кабельный модем, все XP SP1. Все пучком, но некоторые юзеры обходят UserGate - они могут прописать MAC своих сетевух на сайте провайдера. Там можно прописать 3 MACа, один из них всегда MAC сервера сети. Два юзера могут лезть напрямую - административные меры не дают эффекта (домашняя сеть, негуманно...) 1. Как обеспечить выход юзеров в инет только через UserGate? Желательно ничего не делать на машинах юзеров, если это возможно. Но думаю, что без этого никак. 2. Тогда - что делать у юзеров? Спасибо.

18.11.2004, 15:20	# 2
teddy_val Junior Member Регистрация: 27.05.2004 Сообщения: 139	MeatEater Как и где уатновлен кабельный модем? на компе с Usergate ? __________________ Любителям чая и кофе: Крепкий напиток должен быть прозрачным!

18.11.2004, 15:58	# 5
MeatEater Member Регистрация: 25.08.2002 Сообщения: 207	ivahaev Я рассказал всю правду Юзеры железно ходят через мой комп по фтп, потому что не умеют его настроить напрямую. По хттп тоже ходят, но не все. У провайдера есть сайт, где есть аккаунт, соответствующий моему модему. В этом аккаунте можно прописать 3 сетевухи одновременно для работы с этим конкретным модемом. Поэтому возможна работа кустом, через сервер, но возможна и работа в 3 независимых потока. Это сделано в расчете на домашние сетки без хаба. Это фича, но в данном случае - баг и геморрой. Я не могу зарубить возможность подключать 3 сетевухи у прова. Я могу отключить какую-нибудь сетевуху, но хитрый юзер залезет к прову и подключит. Информация об аккоунте исторически доступна всем юзерам. Вот такая ситуевина... Надо лечить... Качают фильмы, садят канал, подрывают веру во всемогущество суперадмина Последний раз редактировалось MeatEater; 18.11.2004 в 16:02.

18.11.2004, 16:03	# 6
FantomIL NetMOD Регистрация: 19.05.2003 Адрес: МосПодЛод - НачВод-АккОт Сообщения: 2 376	Как насчет попросить прова отрубить эту фичу? Вариант 2: поставить стенку и зарубить все обращения на сайт прова (это ведь по хттп-интерфейсу они выставляют) для всего диапазона локалки. А вообще, как-то непонятно мне вся эта ситуация __________________ Красная точка лазерного прицела на вашем лбу это тоже чья-то точка зрения... --------- Репутация – это то, без чего могут жить люди с характером Последний раз редактировалось FantomIL; 18.11.2004 в 16:09. Причина: орфография

18.11.2004, 16:04	# 7
Merlin Cori Moderator Регистрация: 29.04.2002 Адрес: Moscow Пол: Male Сообщения: 2 980	я чего-то тож не пойму....... если модем у тебя, то при чем здесь мас адреса? физически к модему подключена 1 сетевуха? то каким образом они могут конектится со своей? __________________ Есть две бесконечные вещи, Вселенная и глупость. Впрочем, на счет Вселенной, я не уверен Вклад IMHO.WS в медицину и науку Присоединяйтесь!!!!!

18.11.2004, 15:24	# 3
MeatEater Member Регистрация: 25.08.2002 Сообщения: 207	teddy_val Да, на сервере 2 сетевых карты, одна через кабельный модем в инет, вторая через свитч в сетку. На сервере UserGate.

18.11.2004, 15:39	# 4
ivahaev ::VIP:: шайтан-башка Регистрация: 31.03.2003 Адрес: imho.ws Тюменское отделение Сообщения: 1 902	Поподробнее опиши, что-то странно как-то у тебя получается. По-идее, юзеры тока через твой комп с Usergate должны ходить, а напрямую никак. Что-то ты утаил

18.11.2004, 16:12	# 8
Mg0 ::VIP:: Железный Дровосек Регистрация: 01.10.2003 Адрес: 1/6 суши Пол: Male Сообщения: 3 510	Присоединяюсь к недоумевающим... У тебя что, "сквозь" машину с модемом организовано тунелирование что ли? Так заруби его! __________________ Я только снаружи страшОн, а внутри... внутри я... просто УЖАСЕН!

18.11.2004, 16:40	# 9
MeatEater Member Регистрация: 25.08.2002 Сообщения: 207	FantomIL С провом не договориться. У них сайт рассчитан на самостоятелное управление аккоунтом самими юзерами. Стена типа ZoneAlarm стоит, запретить выход нет смысла, это административная мера - юзер придет и попросит включить. Придется включать. Mg0, Merlin Cori К модему подключена одна сетевуха. Никакого туннелирования... Однако, не в этом ли дело: на сетевухе, которая к модему, включен ICS aka NAT или как он там в XP называется. Т.е. расшаренное соединение. С другой стороны, без него из сети в инет имхо не выйти.

18.11.2004, 16:46	# 10
Black_NAiL Папараций Регистрация: 25.04.2003 Сообщения: 806	MeatEater: Если есть usergate, тогда зачем ICS??? Выруби.

18.11.2004, 17:35	# 12
MeatEater Member Регистрация: 25.08.2002 Сообщения: 207	FantomIL, Black_NAiL Попробовал отключить NAT - юзеры перестали выходить в инет. Даже те, которые ходили через UserGate. Что-то не то... Попробую еще вечером покрутить настройки. Вроде бы действительно UserGate имеет NAT, но как-то не идет.

18.11.2004, 18:53	# 13
Black_NAiL Папараций Регистрация: 25.04.2003 Сообщения: 806	я пока у юзергада нат не видел. Может, у меня старая версия. Вообще, в виде прокси - весьма глючен. Лучше сруби все юзергады, ICS и прочее, поставь маленький winroute pro. Избавишься от своей проблемы.

18.11.2004, 20:54	# 14
vovik IMHO Ворчун-2006 Регистрация: 24.03.2003 Адрес: Москва Пол: Male Сообщения: 4 651	Я другого не пойму, а с какой стати юзеры вообще имеют доступ к настройкам аккаунта? неужели, предусмотрев такую возможность, провайдер не запаролировал ее? Ходи, кто хочет - бери, что хочешь...

18.11.2004, 21:43	# 15
MeatEater Member Регистрация: 25.08.2002 Сообщения: 207	Black_NAiL Спасибо, буду искать winroute pro. Как я понял, у него свой NAT есть? vovik Конечно, у аккаунта есть логин и пароль, просто их знают все неленивые юзеры, а ругаться с ними и менять все на свое политически невыгодно Поэтому должен использоваться технический прием.

19.11.2004, 12:16	# 19
Stunt Full Member Регистрация: 07.06.2002 Адрес: Tallinn Сообщения: 600	фсе таки не понатна КУДА они там прописывают номера СВОИХ сетевух?? и КАК ето может вапше повлиять на обхождение user gate...... П:С: а пароли шарить неблагородное дело супермегадмина __________________ Keep It Real

19.11.2004, 12:39	# 20
Mg0 ::VIP:: Железный Дровосек Регистрация: 01.10.2003 Адрес: 1/6 суши Пол: Male Сообщения: 3 510	MeatEater Не, всё-таки я туплю... Смотри, как я понимаю ситуацию: 1. Физически: есть "труба", идущая от прова к твоему модему. Есть "кран" на этой трубе -- комп, на котором стоит модем. Есть "тройник" -- сетевая карта на компе с модемом, через которую содержимое "трубы" разливается на N струек и доставляется юзерам. 2. Логически: есть "внешняя сеть", IP-адрес из которой присвоен модему. Есть внутренняя сеть, IP-адрес из которой присвоен сетевой карточке компа с модемом. Пакеты из внутренней сети роутятся во внешнюю через комп с модемом. В этой ситуации, имхо, какие бы фичи не были включены у прова, именно ты управляешь "краном", т.е. если юзеры имеют выход только на сетевую карту, то обойти твой прокси без твоего разрешения они не смогут НИКАК. Практически самое простое -- не связываться с "общим доступом", который предоставляет ХР, и осуществлять раздачу прогой типа WinRoute или WinGate -- они достаточно гибки в настройке, позволяют получать статистику и т.п. Или ставить W2003-сервер, там тоже эта проблема может быть решена по-человечески. __________________ Я только снаружи страшОн, а внутри... внутри я... просто УЖАСЕН!