Một số thắc mắc về mạng và việc chặn Internet

Duong_Act · October 14, 2016, 2:22am

Chào cả nhà !
Mình đang dùng chung 1 mạng trong công ty nhưng có chỗ khó hiểu về chặn mạng Internet. Bác nào biết chia sẻ nhé. Một số thong tin.

Tất cả các máy tính đều update Windows bình thường nhưng không vào được Internet. Vẫn ping google bình thườn.
Trong mạng có 1 máy có thể vào được Internet, rút máy này ra, dung phần mềm để giả IP,MAC, NAME going hệt máy vào được Internet cho 1 máy khác và cắm vào cổng mạng đó vẫn không truy cập được Internet.
Một máy Linux tự cài cắm vào cũng không truy cập được.

Vậy nó chặn kiểu gì và chặn ở thiết bị nào nhỉ

ltd · October 14, 2016, 2:28am

Đạt đoán là chặn ở Router hoặc Switch. Có một loại chương trình gọi là captive portal hay hotspot có thể làm việc chặn này.

Update Windows được là vì IP hoặc Domain của Windows được cho vào allow list
Ping được là do Captive Portal cho phép ping, nhưng các request khác thì bị chặn nếu chưa authenticated với Captive Portal

Thông thường việc authenticate có thể dựa vào User Name + Password hoặc MAC address. Trong trường hợp này có lẽ là MAC. Và máy giả không vào được có thể là do cái MAC đó nó chỉ giả cho bác thấy thôi. Còn cái gửi lên Authentication server vẫn là MAC thật.

Bác bắt Wireshark ngâm cứu lại xem.

Tương tự, máy này chưa authenticated thì không vào Internet được.

qtd · October 14, 2016, 4:21am

Ở công ty mình thì vẫn vào được mạng, nhưng các trang như git hay mp3.zing sẽ bị chặn. 1 vài ông phòng IT giỏi vẫn trick được. Hôm nào gặp sẽ thử hỏi xem sao :-?

Không vào được internet của bạn là kiểu gì? Không vào được web hay không call và respone được?.
Nếu không call và respone đc thì không thể update và ping. Có thể họ chặn hết web www, http.

ltd · October 14, 2016, 4:26am

Trường hợp của @qtd là chặn theo IP của dịch vụ hoặc chặn không trả về ip khi request DNS. Trường hợp này đơn giản hơn. Có thể dùng vpn để vào hoặc sửa file host nếu target domain có nhiều ip, mình vào cái ip không bị chặn. Hoặc dùng Google DNS nếu bị chặn DNS

Cách vượt này tương tự như cách làm để vào Facebook trước đây

Do_Nhien · October 14, 2016, 4:42am

thế giả sử anh cho em hỏi em muốn những người truy cập wift nhà em ko vòa được facebook chả hạn thì có làm được ko anh

Duong_Act · October 14, 2016, 5:00am

Những máy bị chặn vẫn Update được WIndows, vẫn ping thấy tất cả các web nhưng bình thường, vẫn duyệt và gửi mail qua Outlook, gửi được cả tới Gmail, nhưng không thể truy cập được vào bất kỳ web nào cả

ltd · October 14, 2016, 5:15am

Đỗ Nhiên: Được chứ. Nếu em có usernamer / password của cái router nhà em, em có thể vào đó để chỉnh chặn một số domain.

Tùy vào loại router, nhưng chặn domain là tính năng cơ bản, thường được đưa vào.

hongquan · October 14, 2016, 9:56am

Họ cài đặt tường lửa tại một máy cổng (gateway), nơi mà các đường đi ra Internet của các máy trong mạng LAN đều phải đi qua. Nó có thể là router, hoặc một máy chủ bình thường được cấu hình cho làm router.

Với tường lửa này, họ sẽ cấu hình để chỉ cho phép những gói tin thuộc 1 giao thức nào đấy, hoặc gửi đến 1 port nào đấy đi qua, còn lại sẽ bị hủy. Lấy ví dụ, theo như bạn mô tả thì cty bạn cho phép các gói ICMP (được phát đi bởi lệnh ping), các gói thuộc giao thức POP3, IMAP, SMTP (dùng bởi các chương trình email) được đi qua. Còn các gói tin TCP, cổng 80, 443 (dùng cho web) thì bị hủy/chặn.

Duong_Act · October 14, 2016, 11:00am

Vẫn có máy vào được Internet bình thường và máy không bạn ạ

hongquan · October 16, 2016, 4:00pm

Bình thường thôi, khi cấu hình tường lửa, có thể cài đặt để áp dụng luật chặn dựa theo IP của nguồn xuất phát mà.

Bạn hãy đọc về iptables để hiểu thêm.

Duong_Act · October 16, 2016, 4:15pm

Mình đã rút máy tính vào được mạng ra. Cài một máy tính khác có IP như vậy nhưng không vào được

hongquan · October 16, 2016, 4:31pm

Cũng bình thường thôi, máy khác sẽ có địa chỉ MAC khác. Quản trị mạng khó tính sẽ chặn theo địa chỉ MAC.
Nói tóm lại, mình đã chỉ cho bạn “đọc về iptables” thì bạn cứ tự đọc đi, rồi thực hành theo, sẽ hiểu ra nhiều điều.

Hoang_Quyet · May 13, 2017, 9:45am

Các Pro cho mình hỏi,mình muốn chặn 1 số máy tính khác,tất cả sử dụng mạng LAN và máy mình và máy người ta đều ngang hàng,có phần mềm nào hay cách nào chặn ngay từ trên modem không ạ,mình sử dụng modem 841N Tplink.

frostphantom · May 15, 2017, 6:42am

trường hợp này nếu port 22 vẫn mở, mình có thể ssh tunneling lên vps để vào web được không ạ ?

Phong_Ky_Vo · May 15, 2017, 6:48am

HI Hoàng Quyết.
Bạn có thể cấu hình lọc đại chỉ mac. Chỉ cho các máy đã đăng ký mac được kết nối vào mạng và với IP tình được cấu hình trước. Tuy không triệt để lắm khi người khác biết được mac và IP tĩnh của bạn thì vẫn có thể vào đươc,