Какой сайт смотрит компьютер локальной сети?

КАК ТЕБЯ ЗАИГНОРИТЬ, ГОСПОДИ.

Никак, терпи.

Я, конечно, мог уже что-то забыть, последний раз админил корпоративную сетку лет 12 назад. Но все же: у меня был парк машин, выходящих в сеть через шлюз (в винде оно как-то так называлось в настройках сети, параметры выдавал DHCP). В качестве шлюза был прокси в прозрачном режиме — просто перекидывал все туда и обратно, при этом ведя логи кто куда ходил. Причем делал я это и как с помощью Squid, так и с помощью NetGate (или как он там называется?).

Что в этой схеме изменилось сейчас?

Покачай там с битлокером, гг. Я так понял там компы вообще сами по себе.

Что в этой схеме изменилось сейчас?

Ну вот тебе домашнее задание - поднимаешь сквид на шлюзе, на клиентах не ставишь свой СА, потом ходишь в интернет. О результатах сообщи.

Ты там можешь сделать ход конем конечно, но он еще хуже.

Никак, терпи.

Да пошел ты.

Да пошел ты.

Окей.

Сделай мне прозрачный прокси на лор, я тебе криптой скину тысячу нерублей.

p.s. проксирование не считается.

Никак, терпи.

Ты мне говоришь 'никак, терпи', что я должен ответить? Ты модератор, игнорить вас нельзя.

Ну зачем цель, чем она поможет? Есть задача, нужно решить, что делать с полученной информацией другая задача. И тут ее не обсуждают.

Есть задача, нужно решить

Ставишь на шлюзе тспдамп и смотри сколько влезет.

Есть задача, нужно решить

google: программное обеспечение для мониторинга рабочего места

Позвольте спросить, как он будет смотреть dns запросы, если сейчас везде включен dns-over-https? Что помешает пользователю установить в браузер некий «ZenMate - Free VPN» и скрыть свои запросы? Или использовать proton-vpn на машине?

В крайнем случае, можно установить proton-vpn на мобилку, раздать с нее вайфай, переподключиться и уйти в плавание...

Благодарствую за ответы.

DNS сервер свой использовать самый простой вариант, как уже написали, хоть с тем же pihole. Отдать клиентам по DHCP.

От сильно хитрой задницы это не спасёт, можно использовать другие DNS, можно DoH. Но в среднестатистическом случае поможет.

Позвольте спросить, как он будет смотреть dns запросы, если сейчас везде включен dns-over-https? Что помешает пользователю установить в браузер некий «ZenMate - Free VPN» и скрыть свои запросы? Или использовать proton-vpn на машине?

Ничего не помешает. Но если пользователь так делает, это можно выявить хотя бы по статистике DNS-запросов.

можно установить proton-vpn на мобилку, раздать с нее вайфай

Бред, телефон (андроид, во всяком случае) не будет слать трафик точки доступа через VPN без обходных путей, требующих root-доступа.

Бред, телефон (андроид, во всяком случае) не будет слать трафик точки доступа через VPN без обходных путей, требующих root-доступа.

Вы таки правы, не шлет :)

Ты мне говоришь ‘никак, терпи’, что я должен ответить? Ты модератор, игнорить вас нельзя.

Сорян, дружище, не знал, что ты не умеешь в сарказм (ну или тупые шутки, хз). В следующий раз поставлю смайлик.

Я не настаиваю на том, что я прав. Просто помню, как подобная задача была решена в месте, где я работал админом около 15 лет назад.

У меня было тоже около 50 виндовых компов, между ними сетка: пара свитчей по кабелям, WiFi-роутер и два репитера к нему. Параметры сети выдавались по DHCP, в качестве интернет-шлюза был указан сервер в этой же сети, на котором был поднят виндовый же NetGate. Для компов он был совершенно прозрачен — они просто ходили в сеть без доп настроек прокси и так далее, при этом HTTPS работал, и никаких плясок с сертификатами не производилось. На сервере были подробные логи, кто куда коннектился. Единственный момент, что я не уже не помню, отображались ли там адреса сайтов или просто айпишники. Собственно, задачей сервера было обрезать скорость и выдавать лимиты трафика, логи были просто потому что сервер мог их писать, но никого не интересовали.

Если сейчас такой подходи неприменим — ок, был неправ. Но сходу выглядит похожим на то, что описал ТС.

Позвольте спросить, как он будет смотреть dns запросы, если сейчас везде включен dns-over-https

О, у нас первый победитель. Не понимаю только, почему вы меня спрашиваете, если я изначально об этом ему писал в этом же треде.

Ждем дальше.

В крайнем случае, можно установить proton-vpn на мобилку, раздать с нее вайфай, переподключиться и уйти в плавание...

Да что ж ты содомит делаешь.. Надо было попозже этот козырь кидать (протон правда бред, но тем не менее).

как он будет смотреть dns запросы, если сейчас везде включен dns-over-https? Что помешает пользователю установить в браузер некий «ZenMate - Free VPN» и скрыть свои запросы? Или использовать proton-vpn на машине?

А всю эту пакость надо блокировать. По айпи, они у них более менее фиксированные. Иногда можно устраивать проверки компов на предмет наличия на них ранее не учтённых обходных подключений и тоже вносить в чёрный список + наказывать тех кто установил.

Бред, телефон (андроид, во всяком случае) не будет слать трафик точки доступа через VPN без обходных путей, требующих root-доступа.

Не то что бы я с тобой не согласен, но можно дамп трафика или хоть что-то? Можно ссылку на сорцы андроида (ну да, они же ненастоящие).

на котором был поднят виндовый же NetGate

Я не знаю, что такое «виндовый netgate», этого не было в условиях.

Я не настаиваю на том, что я прав.
при этом HTTPS работал, и никаких плясок с сертификатами не производилось.

Да мне вобще похер, кто тут прав. Насколько помню, ты ушел с завода в нормальное место на настоящую работу и решил заниматься интересными задачами.

Собственно, задачей сервера было обрезать скорость и выдавать лимиты трафика

Это вообще мимо, ну.

Хорошо, на какой ээ черт в вебе появился https? (и да, сайт хоббита не считается, ОН НЕ МОЖЕТ ДВА ГОДА ЗАПИЛИТЬ СЕБЕ ТЛС).

И про хоббита это не шутка, я пытался найти тред - но слишком долго искать. Он действительно не может.

А всю эту пакость надо блокировать. По айпи, они у них более менее фиксированные.

Забань клаудфларе, клоун. Вот подсети, пожалуйста - https://www.cloudflare.com/ips/

Только у тебя все сломается.

Ну да, я забыл, ты админ локалхоста со своим мнением.

Иногда можно устраивать проверки компов на предмет наличия на них ранее не учтённых обходных подключений и тоже вносить в чёрный список + наказывать тех кто установил.

И постепенно мы приходим к .... РЕШЕНИЮ АДМИНИСТРАТИВНЫХ ЗАДАЧ ТЕХНИЧЕСКИМ ПУТЕМ.

Если че, в условиях не было контроля клиентов.

Возможно вы правы, но это какая то лютая/дикая борьба. Не хочет работать? Уволили и взяли нового мотивированного человека, который будет соблюдать правила и работать.

А старый пусть дома сидит и листает интернет. Надоест листать - пойдет искать работу и будет уже мотивированным.

Можно погуглить «android wi-fi hotspot vpn» или самому проверить. У меня работает именно так. Трафик хотспота не отправляется через VPN by design.

Вот тут тоже написано:

https://protonvpn.com/support/share-vpn-connection-android-hotspot/

Какой сайт смотрит компьютер локальной сети? (комментарий)

Поставь dns сервер внутри предприятия и логируй все dns запросы на нем.

Только не очень понятно зачем все это надо. Современные сайты подкачивают ресурсы с кучи других. Плюс браузеры часто по ссылкам сами ходят, чтобы быстрее их открывать в случае надобности.

Какую задачу то решаете? Может стоит с другой стороны пойти?

Сори, неправильно прочитал предыдущий комментарий. Это я не изучал, давно не раздавал интернет с андроида, среагировал на другое.

Поставь dns сервер внутри предприятия и логируй все dns запросы на нем.

еще один :) вы из какого года?

В смысле? Ты в любом случае будешь резолвить хост при первом обращении к нему. Если нужен только source ip и url сайта, то этого достаточно. А если тебе нужно время обращения и/или точный url, то да. Тогда только proxy.

В смысле? Ты в любом случае будешь резолвить хост при первом обращении к нему

В смысле что в 2023 году ты пососешь со своим снифом днс, потому что клиенты могут резолвить (и резолвят, внезапно) днс не как 20 лет назад в открытом виде.

Если ты про DNS over HTTPS, то DoH серверов не так много и их можно заблокировать. (Тебе все-равно придется блокировать dns traffic). И я не предлагаю сниффить, а предлагаю логировать запросы.

Но да. Все это изначально бесполезно, так как есть мобильная связь через которую можно спокойно ходить на сайты с рабочего места.

Я поэтому и спрашиваю про решаемую задачу.

50 компьютеров
Не хочется пускать через прокси.

Очень зря. У нас 25 машин и только прокси спасает от всего, что водится в сети. Ну ок, не всего, но процентов 80 вирусни. Прокси легко настроить, в инете можно взять списки доменов с малварью, фишингом и прочим дерьмом и заблеклистить. Ну а еще узнаешь много нового о сотрудниках. У нас девушки в бухгалтерии иногда на такое забредают...

обойтись малой кровью

Вот когда пустишь всех через прокси - это и будет малая кровь.

Я поэтому и спрашиваю про решаемую задачу.

А задача идиотская, вот мы тут и развлекаемся.

Если ты про DNS over HTTPS, то DoH серверов не так много и их можно заблокировать.

Да нет же :)

Задача узнать какой сайт посетил компьютер в локальной сети

Так в том и суть, автор хочет шпионить за пользователями, а вы ему предлагаете блеклистить домены/ip.

Ничего. Я решаю задачу в пределах того, что возможно. Отнесу эту пачку ip адресов тому, кто просил отчёт - пусть читают. Даже в этом отчёте что-то, но будет, иногда и этого достаточно. Задача идентифицировать 100% трафика нерешаемая, а вот если нужно собрать хоть какую-то статистику, то именно это мы и получим.

Наказания это административный путь. А технический аспект (чёрные списки) тут для предварительного отсева массовых проявлений.

Нет в условиях.

Это было бонусом просто. Хочет шпионить: тем более прокси. Что не так?

Или он не админ и хочет таки шпионить в обход всего и вся?

то помешает пользователю установить в браузер некий «ZenMate - Free VPN» и скрыть свои запросы? Или использовать proton-vpn на машине?

То, что диапазоны известных VPN-сервисов в блокировке Связьнадзора? Надо городить свой частный VPS и никому не рассказывать, что ты там себе VPN-прокси забацал. В общем не сложно, но дополнительные телодвижения.

Если ты про DNS over HTTPS, то DoH серверов не так много и их можно заблокировать.

Да нет же :)

А потом резолвинг будет не 2-3 мс, а 200-300. Ага. Поставить всем браузеры без говна, и всё. :-)

куда они ходят

vk youtube rutube redtube odnoklasniki yandex google consultant telegram whatsapp viber skype gosuslugi sber newsru tiktok instagram и еще один на лоре зависает.

неблагодари. с тебя полугодовая зп ))))

ну тут только, концлагерь строгого режима с персональными надзирателями с плетками и то не факт что поможет. Может стоит улучшить условия труда, повысить з\п уволить 70% манагеров, глядишь и работники предпочтут работать а не игратся в новую русскую игру «протон-впн овер дох»

Собираешь netflow и кеш dns с роутера, сопоставляешь адреса из первого со вторым, складываешь в influx, визуализируешь через grafana

Там совсем не 200-300, но неважно (от сети зависит конечно). Суть же в том, что если у него работники захотят ходить мимо его днс, то они без особых проблем это сделают. А контроль за клиентами он не запилил и хочет обойтись без этого, о чем тут и писали уже не раз.

У моего домашнего провайдера в рф тут частная инициатива, примерно как в Китае. Если идёт поток трафика на один зарубежный ip (а у меня давно по привычке почти все в туннель до этого ip завернуто), то он его лочит на своем шлюзе на 2-3 часа. Причем тип трафика не важен, я проверял.

Доходит до смешного - могу играть в какую нибудь лигу легенд (это я в туннель не заворачиваю) несколько часов, и это потом тоже рубят.

А про диапазоны публичных впн не, там обычно банят ip или адреса апи впн сервисов, откуда ип впн серверов тянут клиенты, это намного проще.

Если идёт поток трафика на один зарубежный ip (а у меня давно по привычке почти все в туннель до этого ip завернуто), то он его лочит на своем шлюзе на 2-3 часа.

Сурово... А если это связь межофисная какая? Или удалёнка? Каждый раз предупреждать что ли и договариваться?

Что за провайдер такой?

О результатах сообщи.

А что там, так до сих пор и работает как говно?

Прозрачные прокси - зло. А если не они, то нюхать SNI со шлюза и ДНС, лучше локальный. Но это такое себе удовольствие. Во-первых, если клиент может настроить туннель для ДНС, поставить какую-нибудь Оперу или вообще просунуть полноценный ВПН наружу, то его не будет видно. Во-вторых, результатом будет несортированный список всякого мусора типа scontent-waw1-1.xx.fbcdn.net, в котором утонешь, а он не говорит ни о чем, даже о том, что клиент лазил именно на фейсбук.