设为首页收藏本站客户端
立即注册 | 登录
PCEVA,PC绝对领域,探寻真正的电脑知识
搜索
PCEVA,PC绝对领域,探寻真正的电脑知识»电脑知识论坛 技术与产品 网络 路由 WiFi 再次突破公司网络封锁
返回列表 发新帖
打印 上一主题 下一主题
开启左侧

再次突破公司网络封锁

[复制链接]
跳转到指定楼层
1#
StormBolt 发表于 2019-9-19 19:22 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
点击数:4111|回复数:13
本帖最后由 StormBolt 于 2019-9-19 20:37 编辑

年初转到全体禁网的部门,垂直上方的楼上刚好有WiFi,于是采用了有线网专走内网,无线网专走外网的做法:http://bbs.pceva.com.cn/thread-144450-1-1.html

现在楼上那个WiFi没了,不得不发明另一种方法。思路是利用既有内网的物理链路,搭建一个逻辑子网,挂一个路由,MAC伪造某有联网权限的电脑,拖子网里面2台机器上网。
第一步:验证现有物理链路能否搭建私网,找哥们A改了个私网地址10.0.X.X的,互Ping通过。
第二步:找有联网权限的哥们B,谈好这事,然后抄IP、MAC地址,填入路由WAN信息。
第三步:路由LAN信息填入第一步测试的子网。
第四步:哥们B的机器,MAC地址在网卡驱动里改成别的,不能和伪造的路由相同,否则不能联网,因为这不是真正的下级网络,而是混杂在公司大内网里面。
第五步:关闭路由的DHCP功能,防止预期外的设备连进子网。

拓扑图如下,路由、A机、B机可以分开,分别放在任意连着交换机的地方:

供参考,并探讨下合理性。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?注册

x
回复

举报

2#
乘风追路 发表于 2019-9-19 20:22 | 只看该作者
直用自己的电脑上网多好,你在禁网部门用网最后被发现罚款,丢工作就不合适了,我附近国企单位只有科级或需要的部门联外网,但是重要的都是一个联外网,一个内网
来自苹果客户端来自苹果客户端
回复

举报

3#
StormBolt  楼主| 发表于 2019-9-19 20:34 | 只看该作者
乘风追路 发表于 2019-9-19 20:22
直用自己的电脑上网多好,你在禁网部门用网最后被发现罚款,丢工作就不合适了,我附近国企单位只有科级或需 ...

技术上,通过网络能查到的是本来就有权限的机器,除非人跑过来看。然后他们禁网的目的,只是因为有专业软件怕被外界发现,其实一个防火墙就能解决,我这已经屏蔽了软件联网,所以发现也不是什么大罪,再者这工作也不珍贵就是了。。。三流上市公司,夕阳红阶段,本人不说实力派,至少也走的是实力路线,不怕换工作。
回复

举报

4#
bill1818 发表于 2019-9-19 20:59 | 只看该作者
直接用流量上网吧
来自苹果客户端来自苹果客户端
回复

举报

5#
nighttob 发表于 2019-9-20 02:58 | 只看该作者
如果公司直接把接入的这台交换机整个都拉进禁网的规则里面这就不好用了吧?
回复

举报

6#
StormBolt  楼主| 发表于 2019-9-20 09:19 | 只看该作者
nighttob 发表于 2019-9-20 02:58
如果公司直接把接入的这台交换机整个都拉进禁网的规则里面这就不好用了吧? ...

这个交换机连接的机器是整个公司范围的,整个封的话需要给本来就合法联网的机器单独走线路
来自安卓客户端来自安卓客户端
回复

举报

7#
nighttob 发表于 2019-9-20 14:53 | 只看该作者
所以你才能捡漏。
看来你们公司也不打算多花成本去搞封锁。
回复

举报

8#
StormBolt  楼主| 发表于 2019-9-20 17:26 | 只看该作者
nighttob 发表于 2019-9-20 14:53
所以你才能捡漏。
看来你们公司也不打算多花成本去搞封锁。

是的,因为不是保密目的,如果保密目的的话我也不好去突破
来自安卓客户端来自安卓客户端
回复

举报

9#
lcy2233064 发表于 2019-9-20 19:47 | 只看该作者
那就要看你们网维技术怎么样了。如果单独给你的部门分配一个VLAN那么你也伪造不了,还有如果路由器那设置了静止子路由那么普通的路由器也连不上。
来自苹果客户端来自苹果客户端
回复

举报

10#
l443863348 发表于 2019-9-21 11:16 | 只看该作者
我们之前做有线802.1x,绑mac地址,再限制同一个ip底下mac地址,你这完全没戏
回复

举报

11#
StormBolt  楼主| 发表于 2019-9-21 16:59 | 只看该作者
本帖最后由 StormBolt 于 2019-9-21 17:05 编辑
l443863348 发表于 2019-9-21 11:16
我们之前做有线802.1x,绑mac地址,再限制同一个ip底下mac地址,你这完全没戏 ...


现在就已经是,这个限制数是2,我再连一个手机上去就会提示检测到共享上网,封禁1小时。不过我的目的是电脑传文件查资料,已经达成。

为什么这个数字不是1,因为一开始2设备上网就会封12小时,然而出现误报,很多人正常使用也被封,然后他们竟然采用缩短封禁时间的方法来敷衍,降到6小时,还是投诉不断。所以现在就是允许Mac数量2。

有个不明白的地方,我路由已经是伪造Mac的,下级设备的Mac是通过抓包分析的?还有就是我手机连上也不是100%触发封禁
来自安卓客户端来自安卓客户端
回复

举报

12#
StormBolt  楼主| 发表于 2019-9-21 17:02 | 只看该作者
lcy2233064 发表于 2019-9-20 19:47
那就要看你们网维技术怎么样了。如果单独给你的部门分配一个VLAN那么你也伪造不了,还有如果路由器那设置了 ...

静态路由这个倒是,vlan我不太懂,那样的话每台网卡要设置吧?好像不是所有网卡都能搞vlan
来自安卓客户端来自安卓客户端
回复

举报

13#
lcy2233064 发表于 2019-9-21 20:13 | 只看该作者
StormBolt 发表于 2019-9-21 17:02
静态路由这个倒是,vlan我不太懂,那样的话每台网卡要设置吧?好像不是所有网卡都能搞vlan
...

VLAN是在交换机那设置的。只要交换机支持配置,例如普通的网管交换机,就可以做到隔离,如果网管技术够好,可以做到端口级隔离。就是说,这个网线,只能上这个电脑,换个原来地方能上的在这里也连不上。虽然在大多数都没那么极端。但是如果是你整个部门都不允许上网,交换机和路由器都支持VLAN的话。那么大多数网管都会选择隔离一个VLAN的。
来自苹果客户端来自苹果客户端
回复

举报

14#
l443863348 发表于 2019-9-23 11:58 | 只看该作者
StormBolt 发表于 2019-9-21 16:59
现在就已经是,这个限制数是2,我再连一个手机上去就会提示检测到共享上网,封禁1小时。不过我的目的是电 ...

原理就和电信封家用宽带共享一样
你下级怎么改,出去到网关时候,必然出现一个ip底下多个mac地址,实际情况这个除了核心交换外是不正常的
感觉看你们描述是用了深信服之类的设备做的,这个做在交换上面限制强得多,把三层交换排除掉,基本无误报,还是和楼上说的一样看网管水平
回复

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则

关于我们ArchiverPCEVA
© 北京绝对领域咨询有限公司 ( 京ICP备13033395号 )

京公网安备 11011502002666号
快速回复 返回顶部