В последно време много се изписа по въпроса за споделяне на интернета в рамките на едно домакинство, но аз няма да се впускам в расъждения относно моралната страна на въпроса, понеже гледната точка на краен потребител би повлияла силно върху разсъжденията ми. Просто бях подразнен от арогантното поведение на някои ISP-та, които смятат че тяхната гледна точка е единствено вярната, че потребителите са банда крадци на интернет и единствената им цел е да го ползват безплатно или да го разпродават и за да ги ограничат в това им престъпно деяние администраторите имат абсолютните права да се разпореждат както намерят за добре.

И реших да направя няколко опита...

В началото сетнах едно proxy и си разпределих интернета на машините у нас. Процеса беше доволно тривиален /CCProxy, squid etc./, обаче проксито имаше някои недостатъци и реших да го пусна през NAT. Неоткриваемия NAT /почти/ се предсавя от ISP-тата като нещо, което не може да бъде направено, а напротив това е несложен процес.

1. "Най-страшното оръжие" активната превенция срещу споделяне на интернета TTL=1.

Елементарно. Вдига се TTL=64 примерно /макар че и 3 е напълно достатъчно/ на всички входящи пакети.

2. когато две машини решат да обменят информация трябва да постигнат споразумение и да си стиснат ръцете :) тук е втората уловка. Някои от "посредниците" за преговорите са с бради, други с мустаци, трети са гладко избръснати /в зависимост от средата в която са израснали/ и съответно могат да бъдат различавани. Бръсни, стрижи, бръсни, стрижи и готово. /Да, за SYN пакети става дума/

3. на application level различните клиенти: браузъри, телнет и пр. при комуникация си казват всичко преди да си ги питал :) Например:

Браузър: ДАЙ Памела Андерсън от дата.бг
Аз съм IE 6.0, работя на WinXP и т.н.

4. времената за отговор на различните стекове с цигари :)

5. DHCP Request /ако използвате DHCP/ пакетите трябва да бъдат модифицирани в случай, че се използва различна ОС за рутера от ОС на клиентите.

6. ограничаваме броя сесии. Като внасяме малко случаен момент. Пример:
Максималният брой сесии е 15. Определяме броя им в зависимост от накакъв случен фактор, примерно между 12-15 през определен/неопределен период от време. /За да не се грижите в кухнята колко mp3-ки се свалят./

7. Ограничаваме месечния трафик, като се стремим да сме винаги около средното потребление за нашия акаунт. Това е важен момент за да не попадаме в полезрението на ISP-тата и може да бъде контролирано лесно понеже сме в рамките на едно домакинство.

8. ICMP /освен ECHO REPLY, Destination unreachable/ от интернет към нас Log & drop.
TCP spoofed packets, с вдигнат SYN и FIN примерно, Log & Drop.
и т.н.

9. Пускаме една машина с Real-time virus scanner, да сканира за вируси, тр. коне и пр. Това плюс различна антивирусна защита за отделните клиентски машини /ако ви хакнат он-лайн антивируса примерно/

10. Ами ако се маскираме като борче :) или като телевизор :) или като електронна игра :)))

... и готово. За около 60-80$ /ако използваме 2 машини/ и 2-3 дена работа /настройки и тестове/ имаме почти /97.8%/ неоткриваем NAT, като при това сме прилично защитени.

И що толкова труд? Като има и по-лесен начин.

Аз отидох при провайдера си и му казах, че искам да пусна още един комп, за мирка на щерката. Той веднага ми даде още едно ИП + още едно, реално-за всеки случай, пусна малко кабел и го ръгна в суича, дето е у нас.
После пусна акаунта към този на "основното" РС и ми каза "Плащаш си за толкова и толкова Нет, прави с него каквото искаш".
Отне ни 30 мин.(пускането на кабела)

Съдържаниет е скрито
Влезте за да го видите

Редактирано от Cтepн™ на 16.05.04 19:37.

С малката разлика че ти плащаш на трафик, а споделянето се прави предимно от хора с неограничени възможности (трафик с други думи)

Поради няколко причини.
Първо, централизирано управление и защита. Целият трафик минава през FW, след това през друг FW+AV и чак тогава стига до десктоп машините. В противан случай трябва да имам FW+AV на всяка машина, което в твоя случай / 2 комп. / е лесно, но ако имаш 5-6 машини :)
Второ, провайдера ми има доста странна политика в това отношение. На въпроса ми може ли да свържа и други компютри през които да минава нет-а, той ми отговори: Да, може срещу 70% за всеки компютър от цената на основния пакет. :))) "Ако имаш компютърен клуб ще ти направим отстъпка", Ама аз нямам компютърен клуб - значи няма отстъпка.
И преди да си сменя провайдера реших да пробвам дали мога да направя нещо по въпроса

Zdravei, bi li obiasnil kak tochno pravish vsichkite tia raboti?
S kakvo pravish NAT? Az lichno izpolzvam Win Route 5.1.10, no ot kyde se promenia time to live (TTL) na paketite? Pyk i za vsichki ostanali nesta, obiasni malko po podrobno ako ne te zatrudniava.
Blagodaria predvaritelno :-)

Щом ползваш Win, най-добре си пусни едно прокси примерно CCProxy. Ако ти се занимава си качи едно BSD или един Linux. Питай google за active fingerprinting; passive fingerprinting; p0f; nmap; thc-amap за да разбереш как ISP откриват NAT. Прочети и CCNA 1 за да добиеш представа как работи TCP/IP. Съвета ми е да ползваш прокси. Много по-лесно е и не изисква много усилия. Можеш да си пуснеш ICQ през браузъра от http://go.icq.com. Пощата можеш да я четеш през web-intrface /като на абв.бг/, вместо през outlook express. Сложи и един Firewall примерно Kerio Winroute.

И как смени TTL-a ?

google: change TTL. Ако ме питате за Win нямам представа. От registry можете да променяте само TTL на изходящите пакети :). Но това е най-малкият ви проблем. Дори да го вдигнете TTL=255, идва следващия проблем: SYN пакетите от различните машини се различават значително /ако са от различни ОС, какъвто е общия случай/ и трябва да ги уеднаквите. Изобщо ИЗХОДЯЩИТЕ пакети / не само SYN/ трябва да са почти /TTL, DF, etc/ еднакви. Различните браузъри и различните им версии също могат да бъдат различавани. Ако ви трябва бързо разделяне ползвайте прокси, ако ви се занимава имате някои идеи.