Доброго времени суток! Возникла следующая проблемка. Админю сетку из 80 машин в одном учреждении, и всё бы было хорошо,но появился добрый человек и вооткнул wi-fi роутер в локалку. Инетрнет раздается squidom на ubunte 9.10 стоит контроль доступа по ip. Роутеру этот "добрый дядя" дал адрес компьютера, которому был разрешен выход в сеть. И теперь куча личных ноутбуков через эту точку ходит в интернет. Физически отключить точку нет возможности, этот человек очень близкий друг директора... Извиняюсь конечно за непонятное описание проблемы, сам недавно столкнулся с *nix. Есть мысль попытаться ограничить количество сессий для этого адреса,но не совсем уверен что возъимеет должный эффект,может что посоветуете ? заранее спасибо)

• Обход ACL squid через роутер,reader, 00:05 , 19-Янв-12
  • Обход ACL squid через роутер,shadoow, 16:10 , 21-Янв-12
• Обход ACL squid через роутер,DeadLoco, 03:38 , 19-Янв-12
  • Обход ACL squid через роутер,shadoow, 16:08 , 21-Янв-12
• Обход ACL squid через роутер,ipmanyak, 10:42 , 19-Янв-12

> Доброго времени суток! Возникла следующая проблемка. Админю сетку из 80 машин в
> одном учреждении, и всё бы было хорошо,но появился добрый человек и
> вооткнул wi-fi роутер в локалку. Инетрнет раздается squidom на ubunte 9.10
> стоит контроль доступа по ip. Роутеру этот "добрый дядя" дал адрес
> компьютера, которому был разрешен выход в сеть. И теперь куча личных
> ноутбуков через эту точку ходит в интернет. Физически отключить точку нет
> возможности, этот человек очень близкий друг директора... Извиняюсь конечно за непонятное
> описание проблемы, сам недавно столкнулся с *nix. Есть мысль попытаться ограничить
> количество сессий для этого адреса,но не совсем уверен что возъимеет должный
> эффект,может что посоветуете ? заранее спасибо)

можно сессии, можно delay_pools в squid, можно ограничить на интерфейсе , но в любом случае докладную директору и потом когда директор спросит про трафик, напомнить про докладную

Спасибо за советы, попробую сессии обрезать, если не изменяет память, что бы пулами баловаться сквид нужно с ключом определенным собирать, а этого прошлый админ не делал. Пересобрать что то побаиваюсь пока)

> Есть мысль попытаться ограничить количество сессий для этого адреса,
> но не совсем уверен что возъимеет должный эффект, может что посоветуете?

Еще как возымеет. Ограничение количества сессий - самое лучшее, если не единственное средство борьбы с паразитными проксями.

acl IMPUDENCE   maxconn 5
acl WTF src 192.168.1.100/32 # адрес роутера
. . .
http_access deny WTF IMPUDENCE

Пяти сессий еще туда-сюда для пользования в одно личико, но уже втроем они осатанеют от лагов, таймаутов и прочего.

Ну, и бамажку главному, мол, так и так, не корысти ради, а токмо заради секурности в неконтролируемом сегменте сети...

>[оверквотинг удален]
>

 
> acl IMPUDENCE   maxconn 5 
> acl WTF src 192.168.1.100/32 # адрес роутера 
> . . .
> http_access deny WTF IMPUDENCE 
> 

> Пяти сессий еще туда-сюда для пользования в одно личико, но уже втроем
> они осатанеют от лагов, таймаутов и прочего.
> Ну, и бамажку главному, мол, так и так, не корысти ради, а
> токмо заради секурности в неконтролируемом сегменте сети...

Спасибо! Сегодня подправил конфиг , теперь подожду логи пособираю )

как уже сказал reader, можно сессии, можно delay_pools. Последнее тоже эффективно, если зарезать скорость на 5-6 кбит/сек. Пусть сидят толпой  типа на аналоговом модеме.