Как отучить юзеров обходить UserGate?
 

Уважаемые,
Есть сетка с UserGate и кабельный модем, все XP SP1. Все пучком, но некоторые юзеры обходят UserGate - они могут прописать MAC своих сетевух на сайте провайдера. Там можно прописать 3 MACа, один из них всегда MAC сервера сети. Два юзера могут лезть напрямую - административные меры не дают эффекта :) (домашняя сеть, негуманно...)
1. Как обеспечить выход юзеров в инет только через UserGate?
Желательно ничего не делать на машинах юзеров, если это возможно. Но думаю, что без этого никак.
2. Тогда - что делать у юзеров?
Спасибо.

MeatEater
Как и где уатновлен кабельный модем? на компе с Usergate ?

teddy_val
Да, на сервере 2 сетевых карты, одна через кабельный модем в инет, вторая через свитч в сетку. На сервере UserGate.

Поподробнее опиши, что-то странно как-то у тебя получается. По-идее, юзеры тока через твой комп с Usergate должны ходить, а напрямую никак.
Что-то ты утаил :)

ivahaev
Я рассказал всю правду :)
Юзеры железно ходят через мой комп по фтп, потому что не умеют его настроить напрямую. По хттп тоже ходят, но не все.
У провайдера есть сайт, где есть аккаунт, соответствующий моему модему. В этом аккаунте можно прописать 3 сетевухи одновременно для работы с этим конкретным модемом.
Поэтому возможна работа кустом, через сервер, но возможна и работа в 3 независимых потока. Это сделано в расчете на домашние сетки без хаба. Это фича, но в данном случае - баг и геморрой.
Я не могу зарубить возможность подключать 3 сетевухи у прова. Я могу отключить какую-нибудь сетевуху, но хитрый юзер залезет к прову и подключит. Информация об аккоунте исторически доступна всем юзерам.
Вот такая ситуевина... Надо лечить... Качают фильмы, садят канал, подрывают веру во всемогущество суперадмина :)

Как насчет попросить прова отрубить эту фичу?
Вариант 2: поставить стенку и зарубить все обращения на сайт прова (это ведь по хттп-интерфейсу они выставляют) для всего диапазона локалки.
А вообще, как-то непонятно мне вся эта ситуация :confused:

я чего-то тож не пойму....... если модем у тебя, то при чем здесь мас адреса? физически к модему подключена 1 сетевуха? то каким образом они могут конектится со своей?

Присоединяюсь к недоумевающим... У тебя что, "сквозь" машину с модемом организовано тунелирование что ли? Так заруби его!

FantomIL
С провом не договориться. У них сайт рассчитан на самостоятелное управление аккоунтом самими юзерами.
Стена типа ZoneAlarm стоит, запретить выход нет смысла, это административная мера - юзер придет и попросит включить. Придется включать.

Mg0, Merlin Cori
К модему подключена одна сетевуха. Никакого туннелирования...
Однако, не в этом ли дело: на сетевухе, которая к модему, включен ICS aka NAT или как он там в XP называется. Т.е. расшаренное соединение.
С другой стороны, без него из сети в инет имхо не выйти.

MeatEater:
Если есть usergate, тогда зачем ICS??? Выруби.

MeatEater
В этом случае любое отключение пдобной возможности будет административной мерой.
Тогда отключи ICS aka NAT на сетевухе. Нафиг он тебе нужен, если прокси стоит, тем более, что у usergate свой NAT есть (если не ошибаюсь)?

FantomIL, Black_NAiL

Попробовал отключить NAT - юзеры перестали выходить в инет. Даже те, которые ходили через UserGate. Что-то не то... Попробую еще вечером покрутить настройки. Вроде бы действительно UserGate имеет NAT, но как-то не идет.

я пока у юзергада нат не видел. Может, у меня старая версия. Вообще, в виде прокси - весьма глючен.
Лучше сруби все юзергады, ICS и прочее, поставь маленький winroute pro.
Избавишься от своей проблемы.

Я другого не пойму, а с какой стати юзеры вообще имеют доступ к настройкам аккаунта? неужели, предусмотрев такую возможность, провайдер не запаролировал ее? Ходи, кто хочет - бери, что хочешь... :confused:

Black_NAiL

Спасибо, буду искать winroute pro. Как я понял, у него свой NAT есть?

vovik

Конечно, у аккаунта есть логин и пароль, просто их знают все неленивые юзеры, а ругаться с ними и менять все на свое политически невыгодно :) Поэтому должен использоваться технический прием.

MeatEater, юзеры по определению не должны иметь доступ к админским фичам у прова. Тут тока менять пароль и не сообщать его юзверям. А ежели они все знают, то:
Никакого супермогущества нету, и не будет. Это должно административно решаться!

Да, а также нормальный портмап.

:confused: Это как это все знают??? Да у меня жена дома админский пароль не знает, а тут посторонние юзеры...
Смени пароль - никому не давай. Провайдер просто так тоже никому не скажет/не вышлет (по крайней мере я с этим никогда не сталкивался).

фсе таки не понатна КУДА они там прописывают номера СВОИХ сетевух?? и КАК ето может вапше повлиять на обхождение user gate......

П:С: а пароли шарить неблагородное дело супермегадмина:)

MeatEater
Не, всё-таки я туплю... Смотри, как я понимаю ситуацию:
1. Физически: есть "труба", идущая от прова к твоему модему. Есть "кран" на этой трубе -- комп, на котором стоит модем. Есть "тройник" -- сетевая карта на компе с модемом, через которую содержимое "трубы" разливается на N струек и доставляется юзерам.
2. Логически: есть "внешняя сеть", IP-адрес из которой присвоен модему. Есть внутренняя сеть, IP-адрес из которой присвоен сетевой карточке компа с модемом. Пакеты из внутренней сети роутятся во внешнюю через комп с модемом.

В этой ситуации, имхо, какие бы фичи не были включены у прова, именно ты управляешь "краном", т.е. если юзеры имеют выход только на сетевую карту, то обойти твой прокси без твоего разрешения они не смогут НИКАК.
Практически самое простое -- не связываться с "общим доступом", который предоставляет ХР, и осуществлять раздачу прогой типа WinRoute или WinGate -- они достаточно гибки в настройке, позволяют получать статистику и т.п. Или ставить W2003-сервер, там тоже эта проблема может быть решена по-человечески.

Сервак и модем у тебя в квартире или мага-админ тоже за рутером сидит??

Притормозил с ответами по техническим причинам - хреновы эксперименты с инетом...

vovik, ivahaev
Просто сменить пароль и не говорить - не могу, не на меня договор подписан. Этические проблемы, в общем.

YooMC

Это мне пароль расшарили. Подписали договор с провом до моего приезда.

Номера своих сетевух юзеры пишут на сайте прова. Заходят в свой (типа наш общий) аккаунт через логин/пароль, там на странице 3 поля ввода для номера сетевухи. На однои висит моя карта, на двух других - другие юзеры. Похоже, модем на логическом уровне работает как хаб. На физическом - нет, у него 1 вход и 1 выход, но пакеты со всех трех сетевух идут без проблем в инет. Модем Thomson, буковки могу посмотреть.

Mg0

И с физическими, и с логическими трубами все так... Только вот смотри предыдущий абзац - все-таки это работает напрямую.

У меня стоит UserGate. Насколько я помню, WinGate примерно такой же и без NATa тоже. W2003 не хочу. Похоже, WinRoute - единственный выход. Попробую поставить.

YooMC

Да, сервак, модем, свитч и все компьютеры у меня в квартире.

Физически все идут так: юзер-свитч-моя сетевуха-моя вторая сетевуха-модем. Может ли быть, что кабельный модем пускает юзеров через себя в инет?

слушаи так для прова ты обычныи узер или чиво?? я чет не совсем понимаю етои системы и если ты хоцеш рубить трафф НЕ согласовывая с провом то я умываю руки.

П.С. можно print screen етои формы где могут прописывать свои МАЦ

MeatEater, короче так:
Я так понял, что ты не NAT, а шлюз.
Чесс-но слово не понимаю всё-равно твоей ситуации, и похоже, что ты не админ. Если ты админ - бери договор и того, кто его подписывал и дуй к прову, чтобы сменить пароль, или менять договор.
А если ты не админ, то и рубить ты нифига не можешь и пусть юзеры сами ходят.

MeatEater
я дополню ответ ivahaev-а тем, что любая мера, которую бы ты не предпринял будет административной, а не технической. Потому что, что бы ты не сделал - Так что я, честно говоря, вообще не понимаю предмет нашего разговора. Если пров не поменяет тип аккаунта или пароль и ты, в любом случае, говоришь этот пароль всем юзерам, и, при этом, не можешь фильтровать доступ юзеров к определенным ресурсам, то наш диалог бессмысленен, ибо "могущество админа" держится только на ущемлении прав пользователей (в том числе и на сокрытии информации, которая являтся конфеденциальной и на ограничении доступа юзеров к некоторым сетевым ресурсам).

WinGate поддерживает NAT. Кроме того, там куча всего: брандмауэр, антивирус, поддержка VPN, хорошая статистика, гибкие правила фильтрации и т.п. Не агитирую, просто это факты. Ессно, в более-менее свежих версиях, с 5-й и далее.

Вопрос: а платит-то кто? если сами юзеры этот трафик опачивают - ну и пусть ходят как хотят. А если платишь ты, то о каких "этических проблемах" может идти речь, если тебя откровенно ставят на бабки?
На них договор - каждый покупает по мождему, ставит на свою линию и вперед!

YooMC

Прову пофиг, это полный анлим по абонементу, и никому не важно, какой траффик.

ivahaev, FantomIL

Шлюз - точно, NAT - частично. Похоже, часть ната делает модем.
Нужно сделать полный нат. Это и будет ущемление прав.

vovik

Оплата из общего бюджета. Например, какая разница для семьи, кто именно заплатит за инет?

В общем, вывод такой: мне нужно сделать полный NAT. Поэтому, как говорит Mg0, есть смысл пробовать WinGate. Я и пытался сформулировать вопрос так, чтобы было понятно, ЧТО мне нужно: делить доступ ТЕХНИЧЕСКИМИ мерами, не чисто административными. Вроде бы WinGate подойдет, если модем со своим натом все не испортит.

:confused: А зачем тогда сыр-бор городить? Если это "семейный бюджет"?
Ты чего-то темнишь - не договариваешь.
Ежели все общее - в чем проблема, кому как хочется, тот так и рулит. А если не общее, то см. выше.

Короче, определись, а потом спрашивай.

вообщем как я понял тут без согласия юзеров да еще и от прова скрыть
админ ты по собственному желанию всё же?

Короче ты либо админ, либо труба в инет ;)
Рекомендую:
1. Сносишь нахрен UserGate и ставишь Winroute
2. Оставляем NAT (иначе тебя достанут просьбами об аське, мирке и т.д.), но вбиваем на NAT правила фильтрации соединений (типа разрешить ftp, http, icq, ... etc, остальное drop)
3. Обязательно включи авторизацию, иначе хрен узнаешь кто-куда ходил (иногда оказывается очень полезно)
вроде навскидку все

WinRoute 4.25, прекрасно дружит с UserGate 2.8.0.43, эта парочка у меня уже второй год блаженствует, мимо не пролезть.

Сорри, а ipconfig /all посмотреть нельзя ли? А то, честно говоря, непонятно совершенно...

Вот такой итог: WinRouite + NAT с правилами - это правильное решение.
Плюс авторизация. Мимо крана ни один юзер не пролез.
UserGate, imho, предназначен для менее запущенных случаев.
Всем спасибо за советы.

Вообще-то здесь вполне можно было и UserGate-ом обойтись.
Правила на NAT там настраиваются элементарно

MeatEater
Вообще, если юзверей надо ограничивать в трафике - лучше UserGate ничего не встречал. версия 2.8 оснащена портмаппингом, http и ftp proxy? а вот версия 3.0 уже оснащена натом и http-proxy. Видел еще на развалах прогу lan2net - тоже хитрый проксик(нат)+стеночка , тоже юзерей по перерасходу кромсать может. А из рекомендованных Винрутов - хе-хе, не нравятся они мне... Хотя продукт уважаемый, проксить умеет весьма недурственно.
А вообще на кране вода должна литься через одну дырку (это я о сервере). Потому или проксик какой-либо, или ICS aka NAT. Особенно важно - админить это дело должен только админ, а юзерь должен производить настройки только на своем компе...

Zenon
юзер вообще не должен ниче настраивать, тем более свой комп

Поставь Traff Inspector и не мучайся

UserGate умеет ограничивать только по кол-ву килобайтов. А вот по кол-ву потоков не умеет.
Поэтому приходится использовать Band Speed Balancer.

Поставил в сети UserGate 2.8.0.43, прописал пользователей, настроил авторизацию на IP адреса. Если в настройках, например, IE прописать прокси, то статистика сразу летит, а если оставить все на автомате, то МОНИТОР сразу замолкает! Смышленый пользователь всегда сможет воспользоваться этой дырой! Вопрос, как закрыть эту дыру?