From: "Nizamov Shavkat" <shawkat@samdu.uz>
To: community@altlinux.ru
Subject: Re: [Comm] 2 proxy
Date: Sat, 25 Sep 2004 09:41:21 +0500 (UZT)
Message-ID: <36806.194.67.216.220.1096087281.squirrel@www.samdu.uz> (raw)
In-Reply-To: <200409242300.08394.dead-mustdie@nm.ru>
> Здравствуйте, dima@donauto.net.ua!
>
> Пятница 24 Сентябрь 2004 18:17, Вы писали:
>
>> Есть сетка, инет раздается через файрвол на
>> некоторые машины...
>> Но периодически появляются грамотные юзверя,
>> которые сатавят на эти машины проксю и ходят
>> через них в инет. Как бы на сервере отрубить
>> такие попытки, т.е. отследить соединение,
>> пришедшее с прокси.
>
> Мне представляется, что Вы немного не с того конца берётесь за это дело.
> Решайте вопрос прежде всего организационными, а не техническими мерами.
> В противном случае просто получите <<соревнование брони и снаряда>>,
> которое никуда не ведёт. Даже если, как написано в соседней ветке, Вы
> научитесь ловить пакеты прокси по каким-либо признакам, кто-нибудь
> просто найдёт способ обходить и эту защиту, только и всего.
>
могу даже предложить как обойти %)
1) пропатчить проксю на предмет удаления x-forwarded-for. AFAIK это просто
информативное поле, то есть если его убрать прокся будет работатать точно
так же что и ранее.
2) вариант предыдущего - обычным hexedit ом покоцать бинарник прокси на
предмет изменения текстовой строчки x-forwarded-for на нечто другое
3) пользовать не http прокси а socks. AFAIK socks работает примерно на
таком же принципе что и нат, то есть "отсебятину" не вставляет. здесь могу
ошибаться поскольку с socks не знаком
4) самый простой - ставить не прокси а обычный нат.
Но на это админ может ответить следующим образом
1) ограничить канал на ip-адрес скажем на уровне 2-3-4 кбайт-с Один
пользователь еще сможет нормально работать, двое уже будут значительно
мешать друг-другу, а 3 и больше пользователей на один канал напомнят
печальную картину "интернет-кафе всего несколько лет назад".
делается это средствами squid или iptables, поможет в любом случае.
2) ограничить количество коннектов (сессик) с одного ip-адреса -
посредством сквида acl maxconn (или же iptables - если у него есть такая
фича ). тоже хороший вариант
3) вот неуверен насчет ttl пакетов - nat уменьшает его или нет ? если
уменьшает - то опять таки Iptables в руки и режем пакеты с меньшим ttl.
хотя вряд ли - нат это не роутинг.
4) дать по голове сильно-сильно
next prev parent reply other threads:[~2004-09-25 4:41 UTC|newest]
Thread overview: 18+ messages / expand[flat|nested] mbox.gz Atom feed top
2004-09-24 14:17 dima
2004-09-24 14:24 ` Макс
2004-09-24 14:36 ` Vladimir Cherednichenko
2004-09-24 14:47 ` dima
2004-09-24 14:43 ` some_x
2004-09-24 14:54 ` Serge Polkovnikov
2004-09-24 15:07 ` some_x
2004-09-24 15:10 ` Serge Polkovnikov
2004-09-24 15:39 ` some_x
2004-09-24 18:11 ` Serge Polkovnikov
2004-09-24 17:02 ` Nizamov Shavkat
2004-09-25 3:24 ` Ivan Fedorov
2004-09-24 18:41 ` Pavel Shurubura
2004-09-25 3:23 ` Ivan Fedorov
2004-09-24 19:00 ` dm
2004-09-25 4:41 ` Nizamov Shavkat [this message]
2004-09-28 12:30 ` Antonio
2004-09-26 9:43 ` [Comm] " Michael Shigorin
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=36806.194.67.216.220.1096087281.squirrel@www.samdu.uz \
--to=shawkat@samdu.uz \
--cc=community@altlinux.ru \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git