[Comm] 2 proxy

Пт Сен 24 21:02:53 MSD 2004

> Здравствуйте, All!
>
> Есть сетка, инет раздается через файрвол на
> некоторые машины...
> Но периодически появляются грамотные юзверя,
> которые сатавят на эти машины проксю и ходят
> через них в инет. Как бы на сервере отрубить
> такие попытки, т.е. отследить соединение,
> пришедшее с прокси.
>

это сложная задача, поскольку трудно отличить кто лезет в интернет -
вэб-клиент или прокси. однако есть одна зацепка - прокси вставляет в http
запрос поле X-forwarded-for, по которому можно судить что данный
http-запрос сформирован проксей, а не просто броузером. таким образом в
теории имеем решение - средствами iptables дропаем пакеты идущие на
известные http порты - 80, 1080, 3128, 8080, 8081 и т.д, содержащие в теле
пакета строчку X-Forwarded-For. этим мы рубим обмен по протоколу http.

здесь есть одна сложность - такая функциональность была только привнесена
в iptables на тот момент, когда меня интересовал такой же вопрос (год-
полтора назад) - не то это был патч, не то плугин. как обстоит дело сейчас
- пусть скажут спецы по iptables.