Re: [Comm]Запрет пользования сторонними проксями.
Дорогов Николай
=?iso-8859-1?q?support_=CE=C1_planetashop=2Eru?=
Вт Сен 27 20:01:46 MSD 2005
> > Nick S. Grechukh wrote:
> > >>>>Как запретить использование сторонних прокси на сервере, все
> > >>>>манипуляции на клиенте не рассматриваются.
> > >>>запретить прямое хождение и сделать непрозрачный прокси, юзерам
> > >>>разъяснить.
> > >>Надо именно на прозрачном прокси, каким то образом отсекать тех кто
> > >>настроил свой браузер на стороннюю проксю. Возможно acl ????
> > > afair проблема сводится к "как идентифицировать прокси по известным
> > > hostname:port". проблема в общем случае нерешаемая.
> >
> > iptables -P FORWARD DROP
> > iptables -A FORWARD -j ACCEPT -p tcp --dports разрешённый_порт.
> >
> > Т.е. по умолчанию запретить ВСЕ dest-порты в транзитных пакетах, и потом
> > открыть только явно указанные. Только тут много всяких подводных
граблей.
>
> У меня и так порты открыты только те что необходимы, но это проблему не
> решает поскольку
> сторонние прокси частелько работают на 80 открытом порту, и запрос к
такому
> прокси
> выглядит также как к обычному сайту, за исключением заголовков.
Вот тут описана точно такаеже проблема:
http://forum.shelek.com/index.php/topic,2081.msg36026.html
Решением может быть разрешение проксирования HTTP, FTP а на SOCKS поставить
запрет, но вот я понять не могу как его поставить, поскольку у меня
разрешено
только то что перечисленно и там нет никаких SOCKS, а остальное запрещено:
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Jabber_ports port 5222
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
http_access deny manager
# Deny requests to unknown ports
http_access deny !Safe_ports
# Deny CONNECT to other than SSL ports
http_access deny CONNECT !SSL_ports !Jabber_ports
>
> _______________________________________________
> Community mailing list
> Community на altlinux.ru
> https://lists.altlinux.ru/mailman/listinfo/community
Подробная информация о списке рассылки community