Re: [Comm]Запрет пользования сторонними проксями.

[Дорогов Николай]

 > > > Nick S. Grechukh wrote:
> > > > >>>>Как запретить использование сторонних прокси на сервере, все
> > > > >>>>манипуляции на клиенте не рассматриваются.
> > > > >>>запретить прямое хождение и сделать непрозрачный прокси, юзерам
> > > > >>>разъяснить.
> > > > >>Надо именно на прозрачном прокси, каким то образом отсекать тех
кто
> > > > >>настроил свой браузер на стороннюю проксю. Возможно acl ????
> > > > > afair проблема сводится к "как идентифицировать прокси по
известным
> > > > > hostname:port". проблема в общем случае нерешаемая.
> > > >
> > > > iptables -P FORWARD DROP
> > > > iptables -A FORWARD -j ACCEPT -p tcp --dports разрешённый_порт.
> > > >
> > > > Т.е. по умолчанию запретить ВСЕ dest-порты в транзитных пакетах, и
> потом
> > > > открыть только явно указанные. Только тут много всяких подводных
> > граблей.
> > >
> > > У меня и так порты открыты только те что необходимы, но это проблему
не
> > > решает поскольку
> > > сторонние прокси частелько работают на 80 открытом порту, и запрос к
> > такому
> > > прокси
> > > выглядит также как к обычному сайту, за исключением заголовков.
> >

то что я принял за прокси,
которым пользуются юзера вроде и не прокси, в логах сквида
есть такие строки:

1127907852.014      5 192.168.0.3 TCP_CLIENT_REFRESH_MISS/200 1233 GET
http://205.188.248.209/monitor? - DIRECT/192.168.0.51 text/html
1127907852.024      5 192.168.0.3 TCP_CLIENT_REFRESH_MISS/200 1233 GET
http://205.188.248.209/monitor? - DIRECT/192.168.0.51 text/html
1127920705.464      5 192.168.0.3 TCP_CLIENT_REFRESH_MISS/200 1233 GET
http://205.188.248.208/monitor? - DIRECT/192.168.0.51 text/html

трафика по ip 192.168.0.3 по саргу натянуто немерено
ip 192.168.0.51 это внутренний DNS
IP 205.188.248.209 - какае-то хрень связанная с ICQ,
встречал кто такую засаду поделитесь мнением.


> _______________________________________________
> Community mailing list
> Community на altlinux.ru
> https://lists.altlinux.ru/mailman/listinfo/community