Мы админа обойдем...

В году ушедшем (№№38, 41 за 2004 г.) мы уже касались принципов маршрутизации в компьютерных сетях, тогда же попытались применить новые знания на практике, используя команду route и другие подручные средства. Наверняка вы уже успели благополучно позабыть об этом и отправить газету в пыльный угол, но напрасно. Пришло время взяться за старое. И вот почему...

Если раньше были актуальны довольно безобидные вопросы: как установить две сетевые карты на компьютере или как сделать машину маршрутизатором между сетями, то сейчас речь идет о борьбе. О борьбе с жестокими админами, которые преграждают нам доступ к ICQ на работе. Господа, свобода слова попрана! Дадим же достойный ответ негодяям - скажем "нет" сетевой цензуре.

Действовать надо немедленно, дорога каждая секунда. Разыщите в подшивке вышеназванные номера "КВ", зашторьте окна, закройте дверь на ключ и выключите мобильный телефон. Вдумчиво прочитайте материалы, а потом сожгите их (можете заодно придать огню конспект по физике или папин галстук). Засыпав пламя землей из ближайшего вазона, постарайтесь не обращать внимания на дырку в ковре и слегка почерневший потолок. В нашем деле главное - не зацикливаться на мелочах.


Суть проблемы

А теперь еще раз, в более развернутой форме, о том, с чем мы, собственно, собираемся бороться. В последнее время на частных предприятиях практикуется блокирование ICQ и сайтов сомнительного содержания в целях повышения работоспособности сотрудников в рабочее время. Однако какими бы объяснениями ни прикрывалось руководство, мы поняли одно - это наезд. Значит, надо с этим бороться. Возьмем себе на вооружение хитрость, таблицу маршрутизации Windows и мобильный телефон с GPRS (либо обыкновенный модем). В данном случае мы настроим компьютер так, что все запросы к определенным сайтам и к ICQ будут уходить через модем или GPRS, то есть в обход злого админа.


Пошаговая стратегия

Предположим, нас интересует сайт www.kv.by, и мы хотели бы посещать его втайне от руководства. Сначала нам потребуется выяснить IP-адрес данного ресурса, для чего выполняем команду ping kv.by. Результат: 212.98.162.115.

Теперь приступаем ко второму этапу. Следует выяснить номер либо адрес интерфейса, посредством которого мы собираемся подключаться к интернету. Рассмотрим на примере модема (в данном случае нет принципиальной разницы, вы можете работать и с GPRS). Когда вы подключились к провайдеру, узнайте свой IP-адрес (в свойствах модемного подключения). В течение сеанса этот адрес будет идентифицировать интерфейс модема. Допустим, это будет адрес 177.7.7.7, именно через него мы и будем указывать маршруты к "особенным" сайтам и ICQ.

Нам необходимо добавить новый маршрут в таблицу маршрутизации своего компьютера. Сделать это нужно таким образом, чтобы все обращения к сайту www.kv.by шли не через интерфейс локальной сети, а через модем, то есть через интерфейс с адресом 177.7.7.7 (он будет использоваться в качестве шлюза). Для этого в консоли пишем следующее: route add 212.98.162.115 177.7.7.7. Но это еще не все: чтобы можно было обращаться к искомому сайту по DNS-имени (kv.by), нужно добавить в файл WINDOWS\system32\ drivers\etc\hosts строку: 212.98.162.115 kv.by.

Таким же образом можно "прикрутить" любой адрес к своему модемному подключению. Достаточно лишь знать его IP-адрес и адрес соответствующего интерфейса.

Как видите, с сайтами все просто. Что касается ICQ, то здесь все несколько сложнее. Дело в том, что: во-первых, при работе с ICQ происходит обращение к нескольким узлам; во-вторых, узел login.icq.com периодически меняет свой IP-адрес. Посему потребовалось провести следственный эксперимент, в результате которого выяснилось, что все возможные IP-адреса login.icq.com принадлежат двум подсетям: 64.12.0.0 либо 205.188.0.0. Нам этого вполне достаточно. Теперь наша задача состоит в том, чтобы обращения к адресам из этих подсетей шли не через локальную сеть, а перенаправлялись на модем. Для добавления к интерфейсу модема маршрута первой подсети в консоли пишем: route add 64.12.0.0 mask 255.255.0.0 177.7.7.7. Для второй: route add 205.188.0.0 mask 255.255.0.0 177.7.7.7. Дело сделано. Весь трафик ICQ теперь будет уходить "мимо" любопытных товарищей, сохраняя конфиденциальность общения. Если вы собираетесь получать альтернативный доступ только к ICQ, то вариант с GPRS будет для вас наиболее выгодным в экономическом плане, поскольку в этом случае вы будете платить лишь за трафик (как известно, при работе с ICQ его генерируется совсем немного).

Не следует оставлять без внимания еще одну деталь, которая имеет принципиальное значение для нас. Отправимся на ее поиски в свойства нашего модемного подключения. Далее на вкладке Networking выберем Internet Protocol TCP/IP и нажмем Properties. В появившемся окошке нажимаем кнопку Advanced и на вкладке General упираемся в опцию Use default gateway on remote network, по умолчанию она включена. Наверняка вы раньше не придавали ей особого значения. Почему она так важна сейчас? Если опция будет включена, то обращения ко всем узлам, находящимся за пределами вашей локальной сети, будут идти через данное подключение. Иными словами, весь интернет-трафик вашего компьютера направится на интерфейс модема. В случае с GPRS это скажется не только на скорости, но и на стоимости. Вряд ли вы будете в восторге. Так как нашей задачей было создать более гибкую систему и направлять "в обход" только обращения к некоторым узлам сети, то опцию Use default gateway on remote network рекомендуется отключить.

Каждый раз, когда вы будете дозваниваться к провайдеру, вашему модему будет назначаться другой IP-адрес. Именно по этой причине мы не использовали команду route -p add (ключ -p сохраняет добавленные маршруты даже после перезагрузки). Так как адрес интерфейса будет меняться, то будет меняться и адрес шлюза, через который мы оправляем в интернет "особый" трафик. То есть периодически придется снова вручную добавлять маршруты к сайтам и ICQ либо менять их командой route change. К примеру, ранее мы выполнили: route -p add 64.12.0.0 mask 255.255.0.0 177.7.7.7. На следующий день вновь подключились через модем (его адрес поменялся на 177.7.8.8). В этом случае пишем в консоли: route -p change 64.12.0.0 mask 255.255.0.0 177.7.8.8.

Как оказалось, все persistent-маршруты (добавленные с ключом -p) хранятся в ветви реестра HKEY_LOCAL_MACHINE\SYSTEM\ ControlSet001\Services\Tcpip\ Parameters\PersistentRoutes. В связи с чем возникает вопрос: почему бы нам не вносить изменения в таблицу маршрутизации напрямую через реестр? Причин этого не делать нет. Проиллюстрируем на примере ICQ.

Аналогом команды route -p add 64.12.0.0 mask 255.255.0.0 177.7.7.7 будет служить следующая запись в файле с расширением reg:

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\PersistentRoutes]
"64.12.0.0,255.255.0.0,177.7. 7.7,1"=""

Предположим, что мы внесли необходимую информацию в файл реестра (назовем его routes.reg), и вот пришло время менять адрес шлюза. Что вы делаете? Запускаете ipconfig /all, узнаете новый адрес (к примеру, тот же 177.7.8.8). Затем открываете routes.reg в обычном Notepad и следуете в меню Edit > Replace. В строке Find what вводите 177.7.7.7, а в строке Replace with - 177.7.8.8, после нажимаете Replace All и сохраняете изменения. Осталось только двойным щелчком добавить новую информацию в реестр. Когда у вас прописано больше одного маршрута, этот способ быстрее и удобнее, нежели использование route change.

Вот, пожалуй, и все. Такими несложными манипуляциями мы можем достигнуть определенной независимости от админа. И на его вопрос: "Откуда здесь "аська"?" гордо ответить: "У меня свой интернет, что хочу, то и делаю". Для пущей убедительности можно использовать термины маршрутизации и другую эмоциональную лексику.

[email protected]

Версия для печатиВерсия для печати

Номер: 

15 за 2005 год

Рубрика: 

Software
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!

Комментарии

Аватар пользователя indigo
1. Проще (для чайников) залить ICQ клиент в мобильник, тут вариантов много

2. Использовать WEBICQ или 911.RU У последних был глюк с оплатой ;) в результате можно было несколько месяцев проработать бесплатно. Да и другие web клиенты ICQ встречались.

3. Еще более удобно - jabber клииент и работа в нем (и в ICQ через шлюз на jabber сервере) по http используя http polling

4. пробовать HTTP tunnel

и т.д.

Аватар пользователя Инкогнито
Загрузить с ICQ сайта HTTP версию ICQ и не мучать себя. Если можно смотреть сайты можно пользовать ICQ.
Аватар пользователя Savely
Ну, уроки маршутизации полезны, это ясно, просто на неудачном примере преподнесены в данном случае... С одной стороны привязка к жизненному - это хорошо, с другой - тупо набивший route add человек ничему не научился...
Аватар пользователя Mexicanetz Express
КГ/АМ

Покажите мне админа, к компу которого преспокойно подключили модем...

Если в проксе, обойти который невозможно, стоит фильтр на ICQ.COM -- то ты не обойдешь его.

Аватар пользователя Инкогнито
2Mexicanetz Express

/*

Если в проксе, обойти который невозможно, стоит фильтр на ICQ.COM -- то ты не обойдешь его.

*/

А как насчет скрипта на каком нить хостинге, и проги запущенной у себя, которая создает туннель tcp over http?

Аватар пользователя indigo
Грамотно настроенный прокси прекроет почти все эти лазейки. На securitylab.ru проскакивала статья с примерами правил, да и метод connect на прокси можно отключить, и тогда с http tunnel будут проблемы. И т.п. Так что все зависит от того, как админ закрутил гайки :)
Аватар пользователя 38th
А ещё через политики безопасности все "честные гражданы" :) выкидываются из локальных администраторов и все подобные настройки становятся невозможны.

А заодно и львиная доля сетевого зверья обламывается...

Аська правда обламывается тоже... ей зачем-то для работы (sic!! для работы, а не для установки) нужны права не менее чем power user... Ну не уроды же? ;)))))