Как отучить юзеров обходить UserGate? - Сети - Страница 2

Stunt · 19.11.2004, 12:51

Сервак и модем у тебя в квартире или мага-админ тоже за рутером сидит??

MeatEater · 20.11.2004, 06:18

Притормозил с ответами по техническим причинам - хреновы эксперименты с инетом...

vovik, ivahaev
Просто сменить пароль и не говорить - не могу, не на меня договор подписан. Этические проблемы, в общем.

YooMC

Это мне пароль расшарили. Подписали договор с провом до моего приезда.

Номера своих сетевух юзеры пишут на сайте прова. Заходят в свой (типа наш общий) аккаунт через логин/пароль, там на странице 3 поля ввода для номера сетевухи. На однои висит моя карта, на двух других - другие юзеры. Похоже, модем на логическом уровне работает как хаб. На физическом - нет, у него 1 вход и 1 выход, но пакеты со всех трех сетевух идут без проблем в инет. Модем Thomson, буковки могу посмотреть.

Mg0

И с физическими, и с логическими трубами все так... Только вот смотри предыдущий абзац - все-таки это работает напрямую.

У меня стоит UserGate. Насколько я помню, WinGate примерно такой же и без NATa тоже. W2003 не хочу. Похоже, WinRoute - единственный выход. Попробую поставить.

YooMC

Да, сервак, модем, свитч и все компьютеры у меня в квартире.

Физически все идут так: юзер-свитч-моя сетевуха-моя вторая сетевуха-модем. Может ли быть, что кабельный модем пускает юзеров через себя в инет?

Stunt · 20.11.2004, 17:01

слушаи так для прова ты обычныи узер или чиво?? я чет не совсем понимаю етои системы и если ты хоцеш рубить трафф НЕ согласовывая с провом то я умываю руки.

П.С. можно print screen етои формы где могут прописывать свои МАЦ

ivahaev · 22.11.2004, 06:59

MeatEater, короче так:
Я так понял, что ты не NAT, а шлюз.
Чесс-но слово не понимаю всё-равно твоей ситуации, и похоже, что ты не админ. Если ты админ - бери договор и того, кто его подписывал и дуй к прову, чтобы сменить пароль, или менять договор.
А если ты не админ, то и рубить ты нифига не можешь и пусть юзеры сами ходят.

FantomIL · 22.11.2004, 10:29

MeatEater
я дополню ответ ivahaev-а тем, что любая мера, которую бы ты не предпринял будет административной, а не технической. Потому что, что бы ты не сделал -

Цитата:

Сообщение от MeatEater

...запретить выход нет смысла, это административная мера - юзер придет и попросит включить. Придется включать...

Так что я, честно говоря, вообще не понимаю предмет нашего разговора. Если пров не поменяет тип аккаунта или пароль и ты, в любом случае, говоришь этот пароль всем юзерам, и, при этом, не можешь фильтровать доступ юзеров к определенным ресурсам, то наш диалог бессмысленен, ибо "могущество админа" держится только на ущемлении прав пользователей (в том числе и на сокрытии информации, которая являтся конфеденциальной и на ограничении доступа юзеров к некоторым сетевым ресурсам).

Mg0 · 22.11.2004, 13:11

Цитата:

MeatEater:
Насколько я помню, WinGate примерно такой же и без NATa тоже.

WinGate поддерживает NAT. Кроме того, там куча всего: брандмауэр, антивирус, поддержка VPN, хорошая статистика, гибкие правила фильтрации и т.п. Не агитирую, просто это факты. Ессно, в более-менее свежих версиях, с 5-й и далее.

vovik · 22.11.2004, 13:32

Вопрос: а платит-то кто? если сами юзеры этот трафик опачивают - ну и пусть ходят как хотят. А если платишь ты, то о каких "этических проблемах" может идти речь, если тебя откровенно ставят на бабки?
На них договор - каждый покупает по мождему, ставит на свою линию и вперед!

MeatEater · 22.11.2004, 16:01

YooMC

Прову пофиг, это полный анлим по абонементу, и никому не важно, какой траффик.

ivahaev, FantomIL

Шлюз - точно, NAT - частично. Похоже, часть ната делает модем.
Нужно сделать полный нат. Это и будет ущемление прав.

vovik

Оплата из общего бюджета. Например, какая разница для семьи, кто именно заплатит за инет?

В общем, вывод такой: мне нужно сделать полный NAT. Поэтому, как говорит Mg0, есть смысл пробовать WinGate. Я и пытался сформулировать вопрос так, чтобы было понятно, ЧТО мне нужно: делить доступ ТЕХНИЧЕСКИМИ мерами, не чисто административными. Вроде бы WinGate подойдет, если модем со своим натом все не испортит.

vovik · 22.11.2004, 17:04

Цитата:

Сообщение от MeatEater

Оплата из общего бюджета. Например, какая разница для семьи, кто именно заплатит за инет?

А зачем тогда сыр-бор городить? Если это "семейный бюджет"?
Ты чего-то темнишь - не договариваешь.
Ежели все общее - в чем проблема, кому как хочется, тот так и рулит. А если не общее, то см. выше.

Короче, определись, а потом спрашивай.

Stunt · 22.11.2004, 18:56

вообщем как я понял тут без согласия юзеров да еще и от прова скрыть
админ ты по собственному желанию всё же?

dr-evil · 22.11.2004, 21:35

Короче ты либо админ, либо труба в инет

Рекомендую:
1. Сносишь нахрен UserGate и ставишь Winroute
2. Оставляем NAT (иначе тебя достанут просьбами об аське, мирке и т.д.), но вбиваем на NAT правила фильтрации соединений (типа разрешить ftp, http, icq, ... etc, остальное drop)
3. Обязательно включи авторизацию, иначе хрен узнаешь кто-куда ходил (иногда оказывается очень полезно)
вроде навскидку все

Indrikis · 01.12.2004, 03:30

WinRoute 4.25, прекрасно дружит с UserGate 2.8.0.43, эта парочка у меня уже второй год блаженствует, мимо не пролезть.

IrWert · 04.12.2004, 13:30

Сорри, а ipconfig /all посмотреть нельзя ли? А то, честно говоря, непонятно совершенно...

MeatEater · 06.12.2004, 15:56

Вот такой итог: WinRouite + NAT с правилами - это правильное решение.
Плюс авторизация. Мимо крана ни один юзер не пролез.
UserGate, imho, предназначен для менее запущенных случаев.
Всем спасибо за советы.

dnoned · 09.12.2004, 14:29

Вообще-то здесь вполне можно было и UserGate-ом обойтись.
Правила на NAT там настраиваются элементарно

Zenon · 23.12.2004, 14:22

MeatEater
Вообще, если юзверей надо ограничивать в трафике - лучше UserGate ничего не встречал. версия 2.8 оснащена портмаппингом, http и ftp proxy? а вот версия 3.0 уже оснащена натом и http-proxy. Видел еще на развалах прогу lan2net - тоже хитрый проксик(нат)+стеночка , тоже юзерей по перерасходу кромсать может. А из рекомендованных Винрутов - хе-хе, не нравятся они мне... Хотя продукт уважаемый, проксить умеет весьма недурственно.
А вообще на кране вода должна литься через одну дырку (это я о сервере). Потому или проксик какой-либо, или ICS aka NAT. Особенно важно - админить это дело должен только админ, а юзерь должен производить настройки только на своем компе...

dr-evil · 24.12.2004, 01:07

Zenon
юзер вообще не должен ниче настраивать, тем более свой комп

ice74 · 06.01.2005, 21:32

Поставь Traff Inspector и не мучайся

Rob · 18.01.2005, 02:53

UserGate умеет ограничивать только по кол-ву килобайтов. А вот по кол-ву потоков не умеет.
Поэтому приходится использовать Band Speed Balancer.

qerst · 25.01.2005, 08:20

Поставил в сети UserGate 2.8.0.43, прописал пользователей, настроил авторизацию на IP адреса. Если в настройках, например, IE прописать прокси, то статистика сразу летит, а если оставить все на автомате, то МОНИТОР сразу замолкает! Смышленый пользователь всегда сможет воспользоваться этой дырой! Вопрос, как закрыть эту дыру?

19.11.2004, 12:51	# 21
Stunt Full Member Регистрация: 07.06.2002 Адрес: Tallinn Сообщения: 600	Сервак и модем у тебя в квартире или мага-админ тоже за рутером сидит?? __________________ Keep It Real

20.11.2004, 17:01	# 23
Stunt Full Member Регистрация: 07.06.2002 Адрес: Tallinn Сообщения: 600	слушаи так для прова ты обычныи узер или чиво?? я чет не совсем понимаю етои системы и если ты хоцеш рубить трафф НЕ согласовывая с провом то я умываю руки. П.С. можно print screen етои формы где могут прописывать свои МАЦ __________________ Keep It Real

22.11.2004, 18:56	# 30
Stunt Full Member Регистрация: 07.06.2002 Адрес: Tallinn Сообщения: 600	вообщем как я понял тут без согласия юзеров да еще и от прова скрыть админ ты по собственному желанию всё же? __________________ Keep It Real

22.11.2004, 21:35	# 31
dr-evil ::VIP:: Регистрация: 17.02.2002 Адрес: /home/dr-evil Пол: Male Сообщения: 2 212	Короче ты либо админ, либо труба в инет Рекомендую: 1. Сносишь нахрен UserGate и ставишь Winroute 2. Оставляем NAT (иначе тебя достанут просьбами об аське, мирке и т.д.), но вбиваем на NAT правила фильтрации соединений (типа разрешить ftp, http, icq, ... etc, остальное drop) 3. Обязательно включи авторизацию, иначе хрен узнаешь кто-куда ходил (иногда оказывается очень полезно) вроде навскидку все __________________ Сеть - это диагноз... а сисадмин - состояние души. Питер! Все на сходку!!! \| Обзоры порталов. Добавь свою любимую систему!

04.12.2004, 13:30	# 33
IrWert Member Регистрация: 01.02.2004 Сообщения: 211	Сорри, а ipconfig /all посмотреть нельзя ли? А то, честно говоря, непонятно совершенно... __________________ Никого не хотел обидеть, все вышесказанное - ИМХО...

20.11.2004, 06:18	# 22
MeatEater Member Регистрация: 25.08.2002 Сообщения: 207	Притормозил с ответами по техническим причинам - хреновы эксперименты с инетом... vovik, ivahaev Просто сменить пароль и не говорить - не могу, не на меня договор подписан. Этические проблемы, в общем. YooMC Это мне пароль расшарили. Подписали договор с провом до моего приезда. Номера своих сетевух юзеры пишут на сайте прова. Заходят в свой (типа наш общий) аккаунт через логин/пароль, там на странице 3 поля ввода для номера сетевухи. На однои висит моя карта, на двух других - другие юзеры. Похоже, модем на логическом уровне работает как хаб. На физическом - нет, у него 1 вход и 1 выход, но пакеты со всех трех сетевух идут без проблем в инет. Модем Thomson, буковки могу посмотреть. Mg0 И с физическими, и с логическими трубами все так... Только вот смотри предыдущий абзац - все-таки это работает напрямую. У меня стоит UserGate. Насколько я помню, WinGate примерно такой же и без NATa тоже. W2003 не хочу. Похоже, WinRoute - единственный выход. Попробую поставить. YooMC Да, сервак, модем, свитч и все компьютеры у меня в квартире. Физически все идут так: юзер-свитч-моя сетевуха-моя вторая сетевуха-модем. Может ли быть, что кабельный модем пускает юзеров через себя в инет?

22.11.2004, 06:59	# 24
ivahaev ::VIP:: шайтан-башка Регистрация: 31.03.2003 Адрес: imho.ws Тюменское отделение Сообщения: 1 902	MeatEater, короче так: Я так понял, что ты не NAT, а шлюз. Чесс-но слово не понимаю всё-равно твоей ситуации, и похоже, что ты не админ. Если ты админ - бери договор и того, кто его подписывал и дуй к прову, чтобы сменить пароль, или менять договор. А если ты не админ, то и рубить ты нифига не можешь и пусть юзеры сами ходят.

22.11.2004, 13:32	# 27
vovik IMHO Ворчун-2006 Регистрация: 24.03.2003 Адрес: Москва Пол: Male Сообщения: 4 651	Вопрос: а платит-то кто? если сами юзеры этот трафик опачивают - ну и пусть ходят как хотят. А если платишь ты, то о каких "этических проблемах" может идти речь, если тебя откровенно ставят на бабки? На них договор - каждый покупает по мождему, ставит на свою линию и вперед!

22.11.2004, 16:01	# 28
MeatEater Member Регистрация: 25.08.2002 Сообщения: 207	YooMC Прову пофиг, это полный анлим по абонементу, и никому не важно, какой траффик. ivahaev, FantomIL Шлюз - точно, NAT - частично. Похоже, часть ната делает модем. Нужно сделать полный нат. Это и будет ущемление прав. vovik Оплата из общего бюджета. Например, какая разница для семьи, кто именно заплатит за инет? В общем, вывод такой: мне нужно сделать полный NAT. Поэтому, как говорит Mg0, есть смысл пробовать WinGate. Я и пытался сформулировать вопрос так, чтобы было понятно, ЧТО мне нужно: делить доступ ТЕХНИЧЕСКИМИ мерами, не чисто административными. Вроде бы WinGate подойдет, если модем со своим натом все не испортит.

01.12.2004, 03:30	# 32
Indrikis Newbie Регистрация: 28.10.2004 Адрес: Western Siberia Сообщения: 33	WinRoute 4.25, прекрасно дружит с UserGate 2.8.0.43, эта парочка у меня уже второй год блаженствует, мимо не пролезть.

06.12.2004, 15:56	# 34
MeatEater Member Регистрация: 25.08.2002 Сообщения: 207	Вот такой итог: WinRouite + NAT с правилами - это правильное решение. Плюс авторизация. Мимо крана ни один юзер не пролез. UserGate, imho, предназначен для менее запущенных случаев. Всем спасибо за советы.

09.12.2004, 14:29	# 35
dnoned Junior Member Регистрация: 07.04.2003 Сообщения: 76	Вообще-то здесь вполне можно было и UserGate-ом обойтись. Правила на NAT там настраиваются элементарно

23.12.2004, 14:22	# 36
Zenon Newbie Регистрация: 08.10.2004 Сообщения: 23	MeatEater Вообще, если юзверей надо ограничивать в трафике - лучше UserGate ничего не встречал. версия 2.8 оснащена портмаппингом, http и ftp proxy? а вот версия 3.0 уже оснащена натом и http-proxy. Видел еще на развалах прогу lan2net - тоже хитрый проксик(нат)+стеночка , тоже юзерей по перерасходу кромсать может. А из рекомендованных Винрутов - хе-хе, не нравятся они мне... Хотя продукт уважаемый, проксить умеет весьма недурственно. А вообще на кране вода должна литься через одну дырку (это я о сервере). Потому или проксик какой-либо, или ICS aka NAT. Особенно важно - админить это дело должен только админ, а юзерь должен производить настройки только на своем компе...

24.12.2004, 01:07	# 37
dr-evil ::VIP:: Регистрация: 17.02.2002 Адрес: /home/dr-evil Пол: Male Сообщения: 2 212	Zenon юзер вообще не должен ниче настраивать, тем более свой комп __________________ Сеть - это диагноз... а сисадмин - состояние души. Питер! Все на сходку!!! \| Обзоры порталов. Добавь свою любимую систему!

06.01.2005, 21:32	# 38
ice74 Junior Member Регистрация: 12.09.2004 Сообщения: 55	Поставь Traff Inspector и не мучайся

18.01.2005, 02:53	# 39
Rob Счастливый папаша Регистрация: 22.07.2003 Адрес: Мюнск Пол: Male Сообщения: 848	UserGate умеет ограничивать только по кол-ву килобайтов. А вот по кол-ву потоков не умеет. Поэтому приходится использовать Band Speed Balancer. __________________ Поддержи важную инициативу IMHO.WS: http://imho.ws/showthread.php?t=128894

25.01.2005, 08:20	# 40
qerst Full Member Регистрация: 28.09.2002 Адрес: Москва Сообщения: 1 419	Поставил в сети UserGate 2.8.0.43, прописал пользователей, настроил авторизацию на IP адреса. Если в настройках, например, IE прописать прокси, то статистика сразу летит, а если оставить все на автомате, то МОНИТОР сразу замолкает! Смышленый пользователь всегда сможет воспользоваться этой дырой! Вопрос, как закрыть эту дыру?