From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <support@planetashop.ru>
Message-ID: <015501c5c595$acb529c0$0200a8c0@admin>
From: =?koi8-r?B?5M/Sz8fP1yDuycvPzMHK?= <support@planetashop.ru>
To: "ALT Linux Community" <community@altlinux.ru>
References: <00cb01c5c372$78155840$0200a8c0@admin>	<200509271743.34006.nick.grechukh@bigmir.net>	<001f01c5c373$d0185c80$0200a8c0@admin><200509271754.00028.nick.grechukh@bigmir.net><43396038.7040700@rambler.ru><000a01c5c377$c3e4bf40$0200a8c0@admin><001201c5c37c$c3477b90$0200a8c0@admin>
	<010b01c5c404$5e6bbf00$0200a8c0@admin>
Subject: =?koi8-r?B?UmU6IFtDb21tXfrB0NLF1CDQz8zY2s/Xwc7J0SDT1M/Sz87Oyc3JINDSz8s=?=
	=?koi8-r?B?09HNyS4=?=
Date: Fri, 30 Sep 2005 12:05:08 +0400
MIME-Version: 1.0
Content-Type: text/plain;
	charset="koi8-r"
Content-Transfer-Encoding: 8bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2800.1506
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1506
X-BeenThere: community@altlinux.ru
X-Mailman-Version: 2.1.5
Precedence: list
Reply-To: ALT Linux Community <community@altlinux.ru>
List-Id: ALT Linux Community <community.altlinux.ru>
List-Unsubscribe: <https://lists.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=unsubscribe>
List-Archive: <http://lists.altlinux.ru/pipermail/community>
List-Post: <mailto:community@altlinux.ru>
List-Help: <mailto:community-request@altlinux.ru?subject=help>
List-Subscribe: <https://lists.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=subscribe>
X-List-Received-Date: Fri, 30 Sep 2005 07:55:29 -0000
Archived-At: <http://lore.altlinux.org/community/015501c5c595$acb529c0$0200a8c0@admin/>
List-Archive: <http://lore.altlinux.org/community/>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>

 > > > Nick S. Grechukh wrote:
> > > > >>>>Как запретить использование сторонних прокси на сервере, все
> > > > >>>>манипуляции на клиенте не рассматриваются.
> > > > >>>запретить прямое хождение и сделать непрозрачный прокси, юзерам
> > > > >>>разъяснить.
> > > > >>Надо именно на прозрачном прокси, каким то образом отсекать тех
кто
> > > > >>настроил свой браузер на стороннюю проксю. Возможно acl ????
> > > > > afair проблема сводится к "как идентифицировать прокси по
известным
> > > > > hostname:port". проблема в общем случае нерешаемая.
> > > >
> > > > iptables -P FORWARD DROP
> > > > iptables -A FORWARD -j ACCEPT -p tcp --dports разрешённый_порт.
> > > >
> > > > Т.е. по умолчанию запретить ВСЕ dest-порты в транзитных пакетах, и
> потом
> > > > открыть только явно указанные. Только тут много всяких подводных
> > граблей.
> > >
> > > У меня и так порты открыты только те что необходимы, но это проблему
не
> > > решает поскольку
> > > сторонние прокси частелько работают на 80 открытом порту, и запрос к
> > такому
> > > прокси
> > > выглядит также как к обычному сайту, за исключением заголовков.
> >

то что я принял за прокси,
которым пользуются юзера вроде и не прокси, в логах сквида
есть такие строки:

1127907852.014      5 192.168.0.3 TCP_CLIENT_REFRESH_MISS/200 1233 GET
http://205.188.248.209/monitor? - DIRECT/192.168.0.51 text/html
1127907852.024      5 192.168.0.3 TCP_CLIENT_REFRESH_MISS/200 1233 GET
http://205.188.248.209/monitor? - DIRECT/192.168.0.51 text/html
1127920705.464      5 192.168.0.3 TCP_CLIENT_REFRESH_MISS/200 1233 GET
http://205.188.248.208/monitor? - DIRECT/192.168.0.51 text/html

трафика по ip 192.168.0.3 по саргу натянуто немерено
ip 192.168.0.51 это внутренний DNS
IP 205.188.248.209 - какае-то хрень связанная с ICQ,
встречал кто такую засаду поделитесь мнением.


> _______________________________________________
> Community mailing list
> Community@altlinux.ru
> https://lists.altlinux.ru/mailman/listinfo/community