網中網，諜中諜，網管若知要吐血。看VPN技術的另類用法。

[psac]

網中網，諜中諜，網管若知要吐血。看VPN技術的另類用法。
現狀：

1、管理型交換機劃出了若干個網段（VLAN）。同網段可以借由網路鄰居共享；異網段可以直接由IP位址訪問，並共享。

2、某網段下處於一個辦公室中的4台電腦A、B、C、D（172.16.101.101——172.16.101.104）長期受某一網段下網管電腦（172.16.101.200）的監控，沒有私人空間，並被警告不能搞與工作無關的事，民不聊生……

3、該網段的網路閘道是172.16.101.254，子網路遮罩255.255.255.192

期望：
使用某種技術擺脫網管監控，並正常實現四台電腦的自由共享。

手法：
分析網管是如何進到4台電腦裡來的。由於4台電腦有工作上的協作關係，所以必須開啟文件及列印共享。共用資料夾裡有些電影和MP3，時常被網管無故移除。網管從網路鄰居上就可以輕鬆看到各台電腦並進入。

對策：安裝防火牆，安裝了強大易用的ZA。
各台電腦都裝ZA，安裝完畢，即將檢測到的「新網路」（4台電腦所在的網段）放在internet區，並勾掉internet選項下的「多點播」。不過這樣一來網管是沒法訪問4電腦了，但4台電腦也沒法共享了，成了孤島。改進辦法也很簡單：再做一個信任區，將172.16.101.101——172.16.101.104增加進去。好！很不錯網管在網路鄰居上看都看不到我們了，ping也ping不通。

網管發現我們在聊天，並且知道我們的聊天內容。
本來我們4台電腦是偷偷借由另一網段一台裝有CCPROXY的電腦代理上internet的。估計網管是用嗅探工具對交換包進行過濾偵測到我們的。

決定用VPN技術通過所謂的隧道連線來對付網管。
在A機上換用win2003 server版。啟動路由及遠端，其餘各機建立VPN連線以撥入A機。並設定靜態位址：
A：192.168.101.1，B：192.168.101.2，C：192.168.101.3，D：192.168.101.4。一旦所有電腦撥入，即均進入到了192.168.101.X網段了。
防火牆的佈署：
A機上改裝OUTPOST3.5版，並開啟ARP反欺騙功能。將網段的自動檢測關閉，把172.16.101.X網段的netbios禁掉，將192.168.101.1——192.168.101.4添至信任區。

B、C、D機上所裝ZA不變，將原信任區172.16.101.101——172.16.101.104刪了，另建信任區192.168.101.1——192.168.101.4。

A機上安裝傳輸協定轉換工具EBORDER3.51，將網際網路代理機IP位址及sockets連接阜號添入。A機上再安裝ccproxy6.34版。只開啟sockets連接阜，將連接阜號由1080改為63332（隨便改啦）。B、C、D各機上安裝EBORDER3.51，將A機192.168.101.1及連接阜號63332添入。

哈哈哈完工。

由於使用了VPN技術及代理技術，產生了一個虛擬的網路192.168.101.X。各機交流通過加密，網管即使使用嗅探，也看不到包裡的內容。各機通過A機中轉上網，網管可以看到A機常有頻密的資料包聯到另一網段的某機的1080連接阜上，卻不能看到包裡的東西。如果上所有4機都固定往遠端機的某一固定連接阜有資料包是會令網管生疑的。

正所謂網中網、諜中諜，網管若知要吐血！