#2362529

В регионе далеко от цивилизации есть примерно 20 компов, подсоединенных к интернету по всей видимости через спутник. В разных комнатах были найдены коммутаторы - см. список. Как устроена сеть непонятно, никто не знает, но сервера-прокси точно нету и как его сделать пока никто не знает. Счета за интернет зашкаливают - десятки тысяч рублей. Надо выявить, кто что качает и как-то предотвратить дальнейшие безобразия.

Провайдер посылает, т.к. им большой трафик выгоден; могут дать только объем трафика с каждого выделенного ай-пи адреса, с какого сайта что качалось не говорят. Итого - есть много неизвестностей - что и как мне надо попытаться выяснить, чтобы навести порядок за ближайшие 3-4 дня ? Мои знания весьма ограничены, но если подскажите - могу посмотреть разные настройки в компах и т.д.

Для начала заведу записи администраторов, постираю с компов торрент клиенты, запрещу стирание логов интернет эксплорера. Но это мало чем поможет, т.к. на каждом компе стоит много рабочего софта, он время от времени обновляется - рано или поздно придется грузиться под администратором. Те немногие доверенные люди, которым можно оставить пароль перед отъездом, понимают в компах на порядок меньше меня - рано или поздно их опять обведут вокруг пальца.

Может есть какая-то простенькая программа для учета трафика, какой-то прокси, который можно настроить даже не до конца понимая как устроена сеть ??? Понятно, что я не могу что-то сломать, чтобы это выяснилось после отъезда.

Может есть какая-то простенькая программа для удаленного администрирования компов - я ее сейчас настрою, а потом уже удаленно без спешки все сделаю правильно ?


D-link DGS-1005D


D-link DGS-1008D


DES 1016D

В свойствах сети вижу (звездочки скрывают реальные цифры)

Физический адрес: E0-***
IP-адрес: 172.***
Маска подсети: 255.255.255.0
Основной шлюз: 172.***
DNS-серверы: 80.***, 80.***
WINS-сервер: тут данных нет


При заходе на адрес Основного шлюза появляется интерфейс
HN7000S Info - судя по тому, что есть секция с информацией о спутнике и т.д. - это спутниковый приемник-его роутер от altegrosky.ru
Есть данные о

LAN1 IP Address: - совпадает с основным шлюзом
LAN1 Subnet Mask: 255.255.255.0
LAN1 MAC Address: - не совпадает с Физическим адресом

И такие данные
NAT: Disabled
DHCP: Enabled on Lan1
Firewall: Enabled (from NOC)
Turbo Page: Disabled

Лучший способ - обратиться к специалисту.
Учитывая зашкаливающие счета за интернет данный метод окупится.

общаться со специалистами будут как раз те люди, у которых рыльце в пушку

Мы говорим о разных специалистах. Я о специалисте в системном администрировании.

SergeyE написал :
подсоединенных к интернету по всей видимости через интернет

Оригинальное подключение
Советую для начала на хобот сходить, там специализированный форум.

БаСур_ман написал :
Учитывая зашкаливающие счета за интернет данный метод окупится.

Где это они и как могут при нынешнем разгуле безлимитов зашкаливать? Контроль нынче нужен видимо не для предотвращения перерасхода трафика а чтоб сотрудники не шарились по всяким в Контакте и Одноклассникам.

Filer, если собираешся дискутировать, читай всю тему и, в особенности топикстартера.
И не путай юриков с жму, тьфу с физиками.

БаСур_ман написал :
Я о специалисте в системном администрировании.

Flier написал :
Где это они и как могут при нынешнем разгуле безлимитов зашкаливать?

анализ информации о месте нахождения компьютеров поможет осознать шансы найти специалиста и вероятность разгула спутникового безлимита; просто живого человека не пенсионера и не калеку редко когда встретишь


антивирусы тут разные - в касперском нашел сетевой экран - но там нет настройки по содержанию - закачку видео и аудио, торренты сразу не заблокируешь (а в контактах пусть сидят - траффик не такой большой); в микрософт эссеншиалз ничего полезного по этой тематике не нашел; пошел читать про коммодо и аутпост - может они помогут

БаСур_ман написал :
Filer, если собираешся дискутировать, читай всю тему и, в особенности топикстартера.
И не путай юриков с жму, тьфу с физиками.

Да,про интернет в глуши не заметил. Просто как-то отвык от того что он может быть лимитным,и для юриков тоже. Просто удивило..

SergeyE написал :
пошел читать про коммодо и аутпост

Аутпост сильно удобней.По крайней мере проще разбираться с ним и написано о том как это делать больше.

SergeyE написал :
Может есть какая-то простенькая программа для удаленного администрирования компов - я ее сейчас настрою, а потом уже удаленно без спешки все сделаю правильно ?

Вот это вроде как классика жанра

Вот ещё интересная программа. Может на первое время поможет? Или это

Вот нашел:


I. ICS (Internet Connection Sharing)
Самый недорогой способ - компьютер А подключается к провайдеру, компьютер Б - к А. Если компьютер А включен, Б получает через него доступ в интернет.
...
Проще всего воспользоваться бортовыми средствами WinXP: на компе А инсталлируется сетевое соединение с Интернетом, в его свойствах разрешаем "зашаривание". В свойствах LAN (внутренней сети) прописываем IP-адрес: 192.168.0.1. На машине Б в свойствах LAN-подключения прописываем IP-адрес 192.168.0.2, шлюз (gateway) и DNS-Server - 192.168.0.1. То же самое проделывает автоматически и Network Connection Wizard.


у меня на компе, который я хочу превратить в прокси сервер нету интернет соединения - только подключения по локальной сети (и на остальных компах так же) - ну и главное - нет там галочек "зашарить" - как это можно сделать ? т.е. на всех компах интернет работает через LAN соединени - других соединений нет, в настройках LAN есть протокол TCP/IP, но там тоже нет "зашарить"

Flier написал :
Может на первое время поможет?

ИМХО там не только PRO но версии Lite более чем, причем также прога паролится и имеется ручное включение/выключение блокируемых сайтов
Ну или на головном прописать NetPolice DNS - сам все "что надо заблокирует" (контакты тоже)

Регистрация: 29.10.2005 Москва Сообщений: 2691

Teamviewer - для управления
Traffic Inspector - для контроля за трафиком

установлен на каждом коме и легко проконтролировать потребление трафика за любое время

теперь надо не столько контролировать, сколько предотвращать закачку видео и аудио

как работают предлагаемые программы - они настраиваются в качестве прокси ? если да - то как это делается, если есть только одно LAN соединение ?

Регистрация: 29.10.2005 Москва Сообщений: 2691

SergeyE написал :
как работают предлагаемые программы - они настраиваются в качестве прокси ?

траффик инспектор встаёт на клиентскую машину в качестве сетевой службы, паролится и работает только через сервер.

но, учитывая то что даже дети умеют менять расширение файлов для обхода офисной прокси, а на файлопомойках оно лежит в заархивированном виде - надежда рубить именно видео и аудио тщетна

Регистрация: 29.10.2005 Москва Сообщений: 2691

вообще, вопрос блокировки трафика очень неоднозначный

реально доступна лишь блокировка по IP (для крупных сервисов типа рапидшары, вконтакта и пр) и по номеру порта (тапивые порты потокового видео и аудио)

но и это обходится с помщью внешней прокси

хотя когда внешняя прокся нагенерит слишком много трафика - её можно забанить

но как забанить tor?

Регистрация: 29.10.2005 Москва Сообщений: 2691

"реально доступна" это в смысле вообще по жизни, а не про функционал какой либо софтины

в софтине много сего может быть, но вот многие попытки блокировки трафика обходятся достаточно легко.

Muxa написал :
траффик инспектор

По мне - кривовата, но ввиду некоторых "послаблений " с точки зрения лицензий прикрутить можно, но ИМХО юзергейт получше/функциональней (вопрос лицензии не трогаем!)
Насчет аудио и видео: кроме расширений "на закачку" можно поставить ограничение на размер закачиваемого файла (с аудио правда не прокатит) - кстати, насколько помнится ТИ ограничение на размер (один файл) не имеет

Регистрация: 29.10.2005 Москва Сообщений: 2691

По любому наилучшее решение это BOFH находящийся в прямом подчинении главбуху и гендиру.

А если у него в офисе будет один сервер, в далёком интернете второй, а между ними сжатая труба то вообще сказка будет.

кстати, может действительно имеет смысл задействовать сервисы сжатия трафика

а с перерасходом бороться совсем бесхитростно: в зависимости от штатного расписания выдавать месячный лимит трафика. Превысил - тебе выдадут ещё, но проанализируют что ты там накачал.

"Нет-нет, никакой тирании, вдруг вам действительно 2 гига надо в месяц. Мы всё изучим и пример решение."

А если оказалось что фигню накачал - принимать меры организационно финансового характера.

Muxa написал :
А если оказалось что фигню накачал -

Слышь - "родной" МО (Дмитров) школа - 1.8 Г - не ХУ ХУ - (это наше местное ограничение) , по "по президентскому" - счас 256 кбит, было 128 - И вот так!
ВЫ "Muxa" - "немножечко!!!!!!!!!!!!!!!!!!" - оторваны от реальности

Регистрация: 29.10.2005 Москва Сообщений: 2691

haramamburu написал :
оторваны от реальности

А можно, в дополнение к Вашему потоку сознания, привести конкретную мою цитату с демонстрацией этой самой оторванности?

мм
не встала вчитываться в поток сознания-лень, простите..., но!
но керио прокси позволяет например включить квотирование
ставим керио, каждый под своим логинпаролем лезет в нет
каждый логин имеет квоту
подарил админу пиво + 2Мб к квоте, коньяк - +10Мб...
керио много чего умеет
люблю его..

ставить софт на каждый из 20 компов нереально, а уж тем более потом настраивать
да и вопрос №14 без ответа

Много раз делали ограничение по трафику и по списку разрешенных сайтов.
Всегда делаем на squid. Если клиент хочет сам админить, то ставим SAMS. Разумеется, это все бесплатное, так как опенсорс. Сквид есть и под винду, но работает паршиво.
Если есть нормальный dhcp + dns то делаем автонастройку браузеров на прокси. Есть советчики, которые предлагают заворачивать 80 порт на проксю, но в варианте прозрачного прокси не будет работать авторизация по логину. Считать придется только по ип адресу, что тоже вполне вариант, если адреса статические.

Регистрация: 29.10.2005 Москва Сообщений: 2691

rem6630 написал :
Разумеется, это все бесплатное, так как опенсорс.

что бы оно качественно работало требуется достаточно дорогой админ

а иначе бывает вот так:

rem6630 написал :
автонастройку браузеров на прокси

rem6630 написал :
Считать придется только по ип адресу, что тоже вполне вариант, если адреса статические.

обход прокси контролирующей лишь конкретные порты и замена IP адреса со своего на соседа который сегодня в отпуске - доступно простым юзерам умеющим пользоваться поисковиками.

только контроль всей сетевой активности, и если есть желание привязки к железу - MAC

Регистрация: 29.10.2005 Москва Сообщений: 2691

SergeyE написал :
ставить софт на каждый из 20 компов нереально, а уж тем более потом настраивать

тогда ищите софт который раблтает исключительно по MAC

но вообще желание "ничего не делать, но всё иметь" чревата уменьшение количества доступных вариантов и удорожанием решения.

SergeyE написал :
да и вопрос №14 без ответа

мой вариант ответа в №15

Сквид давно не диковинка. Найти недорого админа проще-простого. (это все не для споров и баталий. для особо активных - со всем заранее согласен, спорить не собираюсь).
Секретарши могут добавлять учетки через вебинтерфейс.
Боюсь тут начинать дискуссию об эффективности методов контроля. В действительности, если делать авторизацию по логину (автонастройку прокси умеют все браузеры уже много лет), то все очень даже неплохо работает и обойти подменой ип адреса не получится. Если речь идет о туннелях, то конечно, можно запретить метод Connect, но тогда будет мегагеморрой с https. Правильнее анализировать проходящий трафик и отсекать туннели (правду сказать, при любых настройках изнутри проколоть всегда можно найти способ).

пока сделал так: прописал всем статический IP, поменял права на "ограниченная запись" и запаролили биос

поставит прокси сервер не удалось - похоже его надо физически втыкать непосредственно в модем, а не в следующие после него свитчи - а в той комнате нет даже стола, не было и лишнего компа "на вынос"

поэтому приглашаю в следующую тему:
http://www.mastercity.ru/showthread.php?t=136255&p=2378068#post2378068
Как сделать прокси сервер ?