[Comm] 2 proxy

Nizamov Shavkat =?iso-8859-1?q?shawkat_=CE=C1_samdu=2Euz?=
Сб Сен 25 08:41:21 MSD 2004


> Здравствуйте, dima на donauto.net.ua!
>
> Пятница 24 Сентябрь 2004 18:17, Вы писали:
>
>> Есть сетка, инет раздается через файрвол на
>> некоторые машины...
>> Но периодически появляются грамотные юзверя,
>> которые сатавят на эти машины проксю и ходят
>> через них в инет. Как бы на сервере отрубить
>> такие попытки, т.е. отследить соединение,
>> пришедшее с прокси.
>
> Мне представляется, что Вы немного не с того конца берётесь за это дело.
> Решайте вопрос прежде всего организационными, а не техническими мерами.
> В противном случае просто получите <<соревнование брони и снаряда>>,
> которое никуда не ведёт. Даже если, как написано в соседней ветке, Вы
> научитесь ловить пакеты прокси по каким-либо признакам, кто-нибудь
> просто найдёт способ обходить и эту защиту, только и всего.
>

могу даже предложить как обойти %)
1) пропатчить проксю на предмет удаления x-forwarded-for. AFAIK это просто
информативное поле, то есть если его убрать прокся будет работатать точно
так же что и ранее.

2) вариант предыдущего - обычным hexedit ом покоцать бинарник прокси на
предмет изменения текстовой строчки x-forwarded-for на нечто другое

3) пользовать не http прокси а socks. AFAIK socks работает примерно на
таком же принципе что и нат, то есть "отсебятину" не вставляет. здесь могу
ошибаться поскольку с socks не знаком

4) самый простой - ставить не прокси а обычный нат.

Но на это админ может ответить следующим образом

1) ограничить канал на ip-адрес скажем на уровне 2-3-4 кбайт-с Один
пользователь еще сможет нормально работать, двое уже будут значительно
мешать друг-другу, а 3 и больше пользователей  на один канал напомнят
печальную картину "интернет-кафе всего несколько лет назад".
делается это средствами squid или iptables, поможет в любом случае.

2) ограничить количество коннектов (сессик) с одного ip-адреса -
посредством сквида acl maxconn (или же iptables - если у него есть такая
фича ). тоже хороший вариант

3) вот неуверен насчет ttl пакетов - nat уменьшает его или нет ? если
уменьшает - то опять таки Iptables в руки и режем пакеты с меньшим ttl.
хотя вряд ли - нат это не роутинг.

4) дать по голове сильно-сильно



Подробная информация о списке рассылки community