unixforum.org

У нас маленький канал выхода в интернет

С помощью iptables я закрыл часть сайтов -по адресам и портам,
однако userы используют внешние прокси-сервера, которых в изобилии.

Есть ли вариант блокировки таких прокси-серверов не по адресам и портам ?
Например с помощью того же iptables ?

sanit писал(а): ↑

14.01.2009 15:38

У нас маленький канал выхода в интернет

С помощью iptables я закрыл часть сайтов -по адресам и портам,
однако userы используют внешние прокси-сервера, которых в изобилии.

Есть ли вариант блокировки таких прокси-серверов не по адресам и портам ?
Например с помощью того же iptables ?

Я избавился от данной проблемы .
Нормально настроил вначале iptables.
Все по умолчанию в DROP.
Открыл то что нужно.

И настроил сквид с авторизацией по логину и паролю.

sanit писал(а): ↑

14.01.2009 15:38

У нас маленький канал выхода в интернет

С помощью iptables я закрыл часть сайтов -по адресам и портам,
однако userы используют внешние прокси-сервера, которых в изобилии.

Есть ли вариант блокировки таких прокси-серверов не по адресам и портам ?
Например с помощью того же iptables ?

тебе нужно использовать squid и уже в нем настраивать доступы.
И squid'у будет далеко пофиг на внешние прокси.

Kataklysm писал(а): ↑

14.01.2009 15:45

sanit писал(а): ↑

14.01.2009 15:38

У нас маленький канал выхода в интернет

С помощью iptables я закрыл часть сайтов -по адресам и портам,
однако userы используют внешние прокси-сервера, которых в изобилии.

Есть ли вариант блокировки таких прокси-серверов не по адресам и портам ?
Например с помощью того же iptables ?

тебе нужно использовать squid и уже в нем настраивать доступы.
И squid'у будет далеко пофиг на внешние прокси.

Но только с использованием авторизации.
Иначе я как обычный пользователь при прозрачном сквиде могу продолжать по 80 порту юзать прокси анонимные.

спасибо, ясно

wertik писал(а): ↑

14.01.2009 15:59

Но только с использованием авторизации.
Иначе я как обычный пользователь при прозрачном сквиде могу продолжать по 80 порту юзать прокси анонимные.

И что меняется? Если у меня есть статистика, я легко прикрою подобные поползновения.

IMB писал(а): ↑

14.01.2009 16:03

wertik писал(а): ↑

14.01.2009 15:59

Но только с использованием авторизации.
Иначе я как обычный пользователь при прозрачном сквиде могу продолжать по 80 порту юзать прокси анонимные.

И что меняется? Если у меня есть статистика, я легко прикрою подобные поползновения.

Меняется то , что не все смогут додуматься скачать допустим программу freecap
или аналогичную ей , которая позволяет использовать каскад прокси серверов.
Сначала локальный , за ним другой.
Но средства , как прикрыть и такой метод , тоже есть.
сейчас не смогу ответить, но я запрещал использование каскадов прокси.

статистика у меня есть, но отрубать по ip адресам не совсем правильно - лишняя работа
а в squid как сделать?

причем есть статистика по сайтам ежечасно и за день

sanit писал(а): ↑

14.01.2009 16:10

статистика у меня есть, но отрубать по ip адресам не совсем правильно - лишняя работа
а в squid как сделать?

Не помню , тестировать нужно. Искать вновь. Но проблема решаема.

приятно слашать , что задача решаема - буду копать далее

wertik писал(а): ↑

14.01.2009 15:59

Но только с использованием авторизации.
Иначе я как обычный пользователь при прозрачном сквиде могу продолжать по 80 порту юзать прокси анонимные.

А теперь думаем...
Редирект 80 порта на порт сквида
в конфиге сквида указываем:
acl nameacl dstdomain "/etc/squid/denysait"
http_access deny nameacl

Ты хочешь сказать что такое правило при прозрачном прокси работать не будет?

P.S. Ты ошибаешься

Kataklysm писал(а): ↑

14.01.2009 16:42

А теперь думаем...
Редирект 80 порта на порт сквида
в конфиге сквида указываем:
acl nameacl dstdomain "/etc/squid/denysait"
http_access deny nameacl

Ты хочешь сказать что такое правило при прозрачном прокси работать не будет?

P.S. Ты ошибаешься

Видимо вы не дочитали до конца, все анонимные прокси сервера в dstdomain не добавить никогда. Они ежедневно обновляются.
Отгуглить что то новое мне будет не в лом если нужно.
Или у вас есть автоматизированное средство сбора анонимнык прокси серверов , которые кое где и чаще чем раз в сутки обновляются?

p.s я не ошибся.
А если серьезно то , hexdump + tcpdump, + iptables + string вам в помощь . Но это уже другая история.

встречал упоминание вставку с squid.conf

anonymize_headers deny Via

Это правильный путь ?

ссылка
http://www.opennet.ru/openforum/vsluhforumID10/594.html

кто-нибудь пробовал ?

wertik писал(а): ↑

14.01.2009 16:06

IMB писал(а): ↑

14.01.2009 16:03

wertik писал(а): ↑

14.01.2009 15:59

Но только с использованием авторизации.
Иначе я как обычный пользователь при прозрачном сквиде могу продолжать по 80 порту юзать прокси анонимные.

И что меняется? Если у меня есть статистика, я легко прикрою подобные поползновения.

Меняется то , что не все смогут додуматься скачать допустим программу freecap
или аналогичную ей , которая позволяет использовать каскад прокси серверов.
Сначала локальный , за ним другой.

Скорее для своего самообразования вопрос - ну и что меняется? Все равно они должны сперва пройти через меня и в моих возможностях не пустить их.

IMB писал(а): ↑

14.01.2009 21:52

wertik писал(а): ↑

14.01.2009 16:06

IMB писал(а): ↑

14.01.2009 16:03

wertik писал(а): ↑

14.01.2009 15:59

Но только с использованием авторизации.
Иначе я как обычный пользователь при прозрачном сквиде могу продолжать по 80 порту юзать прокси анонимные.

И что меняется? Если у меня есть статистика, я легко прикрою подобные поползновения.

Меняется то , что не все смогут додуматься скачать допустим программу freecap
или аналогичную ей , которая позволяет использовать каскад прокси серверов.
Сначала локальный , за ним другой.

Скорее для своего самообразования вопрос - ну и что меняется? Все равно они должны сперва пройти через меня и в моих возможностях не пустить их.

Для особо одарённых , еще раз повторяю.
Все анонимные прокси которые находятся в интернете, невозможно внести в dstdomain.
Следовательно я мимо Вашего прокси , отгуглю все что мне нужно и буду гулять по всему интернету.
Разжевать подробнее?)

IMB писал(а): ↑

14.01.2009 21:52

wertik писал(а): ↑

14.01.2009 16:06

IMB писал(а): ↑

14.01.2009 16:03

wertik писал(а): ↑

14.01.2009 15:59

Но только с использованием авторизации.
Иначе я как обычный пользователь при прозрачном сквиде могу продолжать по 80 порту юзать прокси анонимные.

И что меняется? Если у меня есть статистика, я легко прикрою подобные поползновения.

Меняется то , что не все смогут додуматься скачать допустим программу freecap
или аналогичную ей , которая позволяет использовать каскад прокси серверов.
Сначала локальный , за ним другой.

Скорее для своего самообразования вопрос - ну и что меняется? Все равно они должны сперва пройти через меня и в моих возможностях не пустить их.

Как не старайся закрыт все не возможно. Интересная утилита PingTunnel http://www.opennet.ru/tips/info/1896.shtml