[Comm] 2 proxy

Ivan Fedorov =?iso-8859-1?q?ns_=CE=C1_altlinux=2Eru?=
Сб Сен 25 07:24:31 MSD 2004


Nizamov Shavkat пишет:
>>Здравствуйте, All!
>>
>>Есть сетка, инет раздается через файрвол на
>>некоторые машины...
>>Но периодически появляются грамотные юзверя,
>>которые сатавят на эти машины проксю и ходят
>>через них в инет. Как бы на сервере отрубить
>>такие попытки, т.е. отследить соединение,
>>пришедшее с прокси.
>>
> 
> это сложная задача, поскольку трудно отличить кто лезет в интернет -
> вэб-клиент или прокси. однако есть одна зацепка - прокси вставляет в http
> запрос поле X-forwarded-for, по которому можно судить что данный
> http-запрос сформирован проксей, а не просто броузером. таким образом в
> теории имеем решение - средствами iptables дропаем пакеты идущие на
> известные http порты - 80, 1080, 3128, 8080, 8081 и т.д, содержащие в теле
> пакета строчку X-Forwarded-For. этим мы рубим обмен по протоколу http.
> 
> здесь есть одна сложность - такая функциональность была только привнесена
> в iptables на тот момент, когда меня интересовал такой же вопрос (год-
> полтора назад) - не то это был патч, не то плугин. как обстоит дело сейчас
> - пусть скажут спецы по iptables.

http://l7-filter.sourceforge.net/
Может оно сможет помочь?..
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : signature.asc
Тип     : application/pgp-signature
Размер  : 189 байтов
Описание: OpenPGP digital signature
Url     : <http://lists.altlinux.org/pipermail/community/attachments/20040925/4cdff5e3/attachment-0002.bin>


Подробная информация о списке рассылки community