Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти
 
Страницы: 1 2 След.
RSS
запрет чужих proxy
 
у меня неболшьшая сетка, с сервером на Gentoo
стоит прозрачный SQUID хотелось бы запретить пользователям выходить в сеть через чужие Proxy.
Что и как надо делать ?
 
Самое простое это сканить сеть на наличие прокси серверов, далее находить их юзеров и глушить на месте
 
а что нить посложнее )))
типа заварачивать весь трафик на squid
$IPTABLES -A FORWARD -s $LNET -d ! $INTIF -p TCP --destination-port 3128 -j DROP
$IPTABLES -A FORWARD -s $LNET -d ! $INTIF -p TCP --destination-port 8080 -j DROP
$IPTABLES -A FORWARD -s $LNET -d ! $INTIF -p TCP --destination-port 1080 -j DROP

не перечислять же все возможные порты ((
думаю что есть что то другое но не знаю что ....
 
это не заворот ))
 
hint из мана по iptables:
Код
layer7
       This module matches packets based on the application layer data of  their  connections.   It
       uses  regular  expression  matching to compare the application layer data to regular expres-
       sions found it the layer7 configuration files.  This is an experimental module which can  be
       found at http://l7-filter.sf.net.  It takes two options.

       --l7proto protocol
                Match  the  specified  protocol.   The  protocol  name  must  match  a  file  name in
                /etc/l7-protocols/
 

Случайный визит в дом умалишенных показывает, что вера ничего не доказывает. ©Гейне Генрих
 
только этот модуль жрёт процессор мама не горюй....
Случайный визит в дом умалишенных показывает, что вера ничего не доказывает. ©Гейне Генрих
 
Цитата
^rage^ пишет:
только этот модуль жрёт процессор мама не горюй....
Цитата
^rage^ пишет:
только этот модуль жрёт процессор мама не горюй....
   самый раз ))) я то думал чем бы занять еще проц, Athlon x64 2 GhZ а то стои пылится )))
осталось только с модулем разобраться
 
Цитата
^rage^ пишет:
только этот модуль жрёт процессор мама не горюй....
В ядро его!!! в ядро!!!
 
а можно по подробней расказать как его использовать для поставленной задачи
 
Есть и более простое решение - закрываете в iptables доступ наружу со всех (или определенных) хостов локальной сети и они волей-неволей будут ходить через ваш прокси. делается это одной строчкой.
 
если я закрою доступ на ружу как быть с трафиком отличным от http который заворачивается на прокси.
 
Цитата
nmalykh пишет:
Есть и более простое решение - закрываете в iptables доступ наружу со всех (или определенных) хостов локальной сети и они волей-неволей будут ходить через ваш прокси. делается это одной строчкой.
вариант. однако тогда придётся гонять вообще весь трафик через прокси. Да и неудобно это пользователям.
Случайный визит в дом умалишенных показывает, что вера ничего не доказывает. ©Гейне Генрих
 
Цитата
hmdhmd пишет:
если я закрою доступ на ружу как быть с трафиком отличным от http который заворачивается на прокси.
А Вы закройте именно тот трафик, который хотите пропускать через свой прокси. Правда это уже не решается одной строчкой.
 
Цитата
nmalykh пишет:

А Вы закройте именно тот трафик, который хотите пропускать через свой прокси. Правда это уже не решается одной строчкой.
имхо, это решается слишком неразумным числом строчек, т.к. любой прокси на нестандартном порту и...
без анализа содержимого пакетов никак. Кстати, ведь в POM был модуль string. Можно просто с его помощью дропать все пакеты, содержащие GET/PUT...
Случайный визит в дом умалишенных показывает, что вера ничего не доказывает. ©Гейне Генрих
 
Цитата
^rage^ пишет:

имхо, это решается слишком неразумным числом строчек, т.к. любой прокси на нестандартном порту и...
Наверняка можно сделать проще - открыть то, что хочется пропускать мимо прокси, а все остальное закрыть.
Цитата
^rage^ пишет:

без анализа содержимого пакетов никак. Кстати, ведь в POM был модуль string. Можно просто с его помощью дропать все пакеты, содержащие GET/PUT...
Не помню точно причину, которой этого не следует делать. но в описании модуля string приведено отчетливое предостережение против такого использования модуля.
 
Цитата
hmdhmd пишет:
если я закрою доступ на ружу как быть с трафиком отличным от http который заворачивается на прокси.
Каркас:

1. Цепочка PREROUTING:
iptables -t nat -A PREROUTING -i $LAN_IFACE -d ! $LAN_IP_RANGE -p tcp --dport 80 (и другие которые хочешь) -j REDIRECT --to-port 3128
Для тех, кто "забыл" написать "правильный" прокси.

2. Цепочка FORWARD (политика DROP!):
iptables -A FORWARD -p tcp -m --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp --dport 23 -i $LAN_IFACE -s 192.168.0.5 -j ACCEPT
Разрешаешь только то, что нужно. В примере эл. клиент для бухгалтерии.
 
Цитата
FUNKY пишет:

1. Цепочка PREROUTING:
iptables -t nat -A PREROUTING -i $LAN_IFACE -d ! $LAN_IP_RANGE -p tcp --dport 80 (и другие которые хочешь) -j REDIRECT --to-port 3128
Для тех, кто "забыл" написать "правильный" прокси.
hint N1: если гейт и прокси - не один и тот же хост? ;)
hint N2: при такой схеме мы отказывается от любой аутентификации на прокси.
hint N3: если gw & proxy - не один и тот же хост, то если надо считать трафик, будет оооочень много головной боли.

Цитата
FUNKY пишет:

2. Цепочка FORWARD (политика DROP!):
iptables -A FORWARD -p tcp -m --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp --dport 23 -i $LAN_IFACE -s 192.168.0.5 -j ACCEPT
Разрешаешь только то, что нужно. В примере эл. клиент для бухгалтерии.
1-я строчка работать не будет. И ещё раз, для тех кто не понимает: _любой_ открытый для трансляции порт - зло.

по поводу string: авторы модуля предупреждают что этот модуль оч. ресурсоёмкий, т.к. анализируется содержимое пакета.
Случайный визит в дом умалишенных показывает, что вера ничего не доказывает. ©Гейне Генрих
 
Цитата
^rage^ пишет:

hint N1: если гейт и прокси - не один и тот же хост? ;)
hint N2: при такой схеме мы отказывается от любой аутентификации на прокси.
hint N3: если gw & proxy - не один и тот же хост, то если надо считать трафик, будет оооочень много головной боли.
В условиях ТЗ не оговаривалось ;) Хотя сделать можно все.

Цитата
^rage^ пишет:
Цитата
FUNKY пишет:

2. Цепочка FORWARD (политика DROP!):
iptables -A FORWARD -p tcp -m --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp --dport 23 -i $LAN_IFACE -s 192.168.0.5 -j ACCEPT
Разрешаешь только то, что нужно. В примере эл. клиент для бухгалтерии.
1-я строчка работать не будет. И ещё раз, для тех кто не понимает: _любой_ открытый для трансляции порт - зло.
Если Вас не затруднит, поясните пожалуйста свою мысль. Может я что-то не понимаю, но у меня примерно такие строчки работают года три.
 
Цитата
FUNKY пишет:

Если Вас не затруднит, поясните пожалуйста свою мысль. Может я что-то не понимаю, но у меня примерно такие строчки работают года три.

Код
localhost src # iptables -A FORWARD -p tcp -m --state ESTABLISHED,RELATED -j ACCEPT
iptables v1.3.1: Couldnt load match --state:/lib/iptables/libipt_--state.so: cannot open shared object file: No such file or directory

Try iptables -h or iptables --help for more information.

-m state надо.
Случайный визит в дом умалишенных показывает, что вера ничего не доказывает. ©Гейне Генрих
 
Цитата
^rage^ пишет:
И ещё раз, для тех кто не понимает: _любой_ открытый для трансляции порт - зло.
Если можно, поясните и эту мысль. Может я не понимаю, но у меня 3128 открыт только изнутри.
Страницы: 1 2 След.
Читают тему (гостей: 1)