ALT Linux Community general discussions
 help / color / mirror / Atom feed
From: "Дорогов Николай" <support@planetashop.ru>
To: "ALT Linux Community" <community@altlinux.ru>
Subject: Re: [Comm]Запрет пользования сторонними проксями.
Date: Tue, 27 Sep 2005 20:01:46 +0400
Message-ID: <001201c5c37c$c3477b90$0200a8c0@admin> (raw)
In-Reply-To: <000a01c5c377$c3e4bf40$0200a8c0@admin>


> > Nick S. Grechukh wrote:
> > >>>>Как запретить использование сторонних прокси на сервере, все
> > >>>>манипуляции на клиенте не рассматриваются.
> > >>>запретить прямое хождение и сделать непрозрачный прокси, юзерам
> > >>>разъяснить.
> > >>Надо именно на прозрачном прокси, каким то образом отсекать тех кто
> > >>настроил свой браузер на стороннюю проксю. Возможно acl ????
> > > afair проблема сводится к "как идентифицировать прокси по известным
> > > hostname:port". проблема в общем случае нерешаемая.
> >
> > iptables -P FORWARD DROP
> > iptables -A FORWARD -j ACCEPT -p tcp --dports разрешённый_порт.
> >
> > Т.е. по умолчанию запретить ВСЕ dest-порты в транзитных пакетах, и потом
> > открыть только явно указанные. Только тут много всяких подводных
граблей.
>
> У меня и так порты открыты только те что необходимы, но это проблему не
> решает поскольку
> сторонние прокси частелько работают на 80 открытом порту, и запрос к
такому
> прокси
> выглядит также как к обычному сайту, за исключением заголовков.

Вот тут описана точно такаеже проблема:
http://forum.shelek.com/index.php/topic,2081.msg36026.html
Решением может быть разрешение проксирования HTTP, FTP а на SOCKS поставить
запрет, но вот я понять не могу как его поставить, поскольку у меня
разрешено
только то что перечисленно и там нет никаких SOCKS, а остальное запрещено:
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Jabber_ports port 5222
acl Safe_ports port 80      # http
acl Safe_ports port 21      # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70      # gopher
acl Safe_ports port 210     # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280     # http-mgmt
acl Safe_ports port 488     # gss-http
acl Safe_ports port 591     # filemaker
acl Safe_ports port 777     # multiling http
acl CONNECT method CONNECT


http_access deny manager
# Deny requests to unknown ports
http_access deny !Safe_ports
# Deny CONNECT to other than SSL ports
http_access deny CONNECT !SSL_ports !Jabber_ports


>
> _______________________________________________
> Community mailing list
> Community@altlinux.ru
> https://lists.altlinux.ru/mailman/listinfo/community



  reply	other threads:[~2005-09-27 16:01 UTC|newest]

Thread overview: 22+ messages / expand[flat|nested]  mbox.gz  Atom feed  top
2005-09-27 14:43 ` [Comm] Запрет " Nick S. Grechukh
2005-09-27 14:57   ` [Comm]Запрет " Дорогов Николай
2005-09-27 14:53     ` Nick S. Grechukh
2005-09-27 15:07       ` Olvin
2005-09-27 15:26         ` Дорогов Николай
2005-09-27 16:01           ` Дорогов Николай [this message]
2005-09-28  8:12             ` Дорогов Николай
2005-09-30  8:05               ` Дорогов Николай
2005-09-30  8:16                 ` Alexey I.Froloff
2005-09-30  8:39                   ` Дорогов Николай
2005-09-30  8:35                     ` Artem K. Jouravsky
2005-09-30  8:43                     ` Шенцев Алексей Владимирович
2005-09-30  8:51                       ` Alexey Morsov
2005-09-30  9:22                         ` Дорогов Николай
2005-09-30  9:15                           ` Eugene Ostapets
2005-09-30  9:18                             ` Шенцев Алексей Владимирович
2005-09-30  9:21                               ` Eugene Ostapets
2005-09-30  9:27                                 ` Шенцев Алексей Владимирович
2005-09-30  9:30                                   ` Eugene Ostapets
2005-09-30  9:15                           ` Eugene Ostapets
2005-09-30  9:35                           ` Alexey I.Froloff
2005-09-27 15:11       ` Дорогов Николай

Reply instructions:

You may reply publicly to this message via plain-text email
using any one of the following methods:

* Save the following mbox file, import it into your mail client,
  and reply-to-all from there: mbox

  Avoid top-posting and favor interleaved quoting:
  https://en.wikipedia.org/wiki/Posting_style#Interleaved_style

* Reply using the --to, --cc, and --in-reply-to
  switches of git-send-email(1):

  git send-email \
    --in-reply-to='001201c5c37c$c3477b90$0200a8c0@admin' \
    --to=support@planetashop.ru \
    --cc=community@altlinux.ru \
    /path/to/YOUR_REPLY

  https://kernel.org/pub/software/scm/git/docs/git-send-email.html

* If your mail client supports setting the In-Reply-To header
  via mailto: links, try the mailto: link

ALT Linux Community general discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
		mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
	public-inbox-index community

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.community


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git