Допустим ситуацию: имеется диал.ап/адсл(мостиком). Есть обыкновенное Подключение удаленного доступа. В нем введены и сохранены (для данного пользователя) логин и пароль. Внимание вопрос: какие кнопочки нужно понажимать, чтобы никакие программки не смогли открыть данный пароль на инет. Чтобы пользователь молча пользовался инетом и не мог бы докопаться до пароля, чтобы вылезти с другого компа под данной инет-учеткой.
поставить галочку "сохранять пароль" и убрать "запрашивать пароль при подключении". Тогда простым кликом на подключение к интернету будет сразу запускаться коннект без запроса пароля и юзер ничего не сломает даже случайно. А еще можно поставить модем в режим роутера и вообще будет пофиг логин и пароль, ибо все в модеме будет храниться.
случайно - вряд ли. а специально - не знаю, ибо винда - черный ящик и как и где она хранит эти пароли я не знаю.
да и а зачем ему вскрывать пароль, если он может соединиться и пользоваться инетом итак. ну разве что для того чтобы по этому паролю из дома потом лазить - ну так это же палево и по логам можно будет его обнаружить.
<div class='quotetop'>Цитата</div><div class='quotemain'>винда - черный ящик и как и где она хранит эти пароли я не знаю.[/quote] не такой он и черный если захотеть</div>
ну если захотеть, то конечно можно раскопать что там и где хранится. а так вот снаскока лично я не знаю. по крайней мере в линухе понятно что пароли хранятся где-нибудь в /etc/ppp/chap-secrets в открытом нешифрованном виде. Но читать этот файл может только root. Поэтому про линух можно сказать хоть что-то определенное в отличие от винды.</div>
[root@mgsrv etc]# ls -la /etc/ppp/chap-secrets -rw------- 1 root root 221 Mar 16 2006 /etc/ppp/chap-secrets [root@mgsrv etc]# даже если у вас не только рут может читать, то chmod и chown помогут это исправить.</div>
Эх, открою карты... В сети с корешом договорились: я ставлю домолинк с локальным анлимом и организовываю раздачу средствами мопеда. Следовательно мне нуна для тарелки внешка и локальный, а ему ток локальный. Купил Acorp 420M. Начал это дело раскуривать. В режиме роутера оставить нельзя, так как любой из сети может в мое отсутствие прописать себе мой IP и пощупать шлюз. Адреса у нас статические, никем не раздаваемые. А вот в режиме моста с настройками в модеме закопался... Неуж то IP filter тама работает тока для PPPOE... Мануалов понакачал, да все не то... Помогите мне... пожалуйста...
Чувак, ты ломишься в открытую дверь. Слышал про такое слово - прокси? Ставь локальный прокси, заводи пользователей, и будет тебе щастье.</div>
Ну должен еще быть фильтр на уровне MAC-адресов хотя это тоже не выход, ибо можно подделать и то и другое если оба абонента в одном сегменте сети. с другой стороны надо смотреть опять же в сами настройки модема - вполне возможно там есть привязка MAC-адреса к конкретному порту RJ45, а следовтаельно можно будет все настроить так что никто не подкопается.
ну так тогда надо будет компьютер постоянно включенным держать чтобы через него трафик проходил. И потом прокси, подозреваю - это не совсем то что нужно, ибо локальный трафик видимо нужен для игр и всяких там торентов, а через прокси такие вещи не пускаются.</div>
я как вариант предлагал KWF (kerio winroute firewall) но это включенный комп, а так можно все что нужно организовать а если средствами только модема, то зависит от конкретного модема в этом случае надо было покупать недешевый зухель) там многое возможно намутить, например версии с офигенными аппаратными файрволами а на этом акорпе.. хз не видел его менюхи, на моем 3коме я прикинул - это можно но нет защиты от подмены мак адреса вобщем хз че предложить даже)
ChiP, даже если не видно пароля, он элементарно выковыривается хак прожкой, был бы доступ к профилю..... Пора переходить на прокси.
вот что можно сделать: 1)подключить свой комп к модему через USB (т.е. вместо сети по Ethernet будет сеть по USB) 2)подключить компьютеры локалки через Ethernet 3)разнести в настройках модема USB и Ethernet в разные Lan groups 4)разрешить для USB-группы весь интернет 5)разрешить для Ethernet-группы только локальный трафик Тут уже точно не подкопаешься, ибо физически все ограничено на уровне портов модема. По-другому (без подключения отдельно одного компьютера через USB, а другого через Ethernet) сделать можно, но в случае подмены MAC+IP злоумышленник может запросто представиться тобой и получить полный доступ в интернет. Можно конечно тупо включать себе интернет когда включил компьютер и выключать - когда выключаешь компьютер, но если включение еще можно автоматизировать через запуск скрипта в автозагрузке виндовс, то выключение сложнее, ибо при завершении работы виндовс не знаю как заставить виндовс запустить какую-то программу.
Ладно, перефразирую вопрос: Умеет ли ЮзерГейт раздавать инет из 2-х источников??? Слонаксовский и земелльный адсл в локальном диапазоне адресов... Если не умеет, то кто умеет? ТраффикИнспектор, ВинРоут?
если через веб-интерфейс модема сделать нельзя, то вопрос как раз в познаниях линукса, ибо тогда придется телнетиться в модем и делать там iptables с правильными параметрами.</div>
зы KWF может отдельным пользователям, или отдельным адресам локалки сделать доступ только в нужный диапазон адресов по отдельным портам или по пачке сервисов сразу к тому же в нем есть DHCP и естественно НАТ
