From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Message-ID: <32840.10.11.2.1.1096045373.squirrel@www.samdu.uz> In-Reply-To: <20040924141720.GA30143@donauto.net.ua> References: <20040924141720.GA30143@donauto.net.ua> Date: Fri, 24 Sep 2004 22:02:53 +0500 (UZT) Subject: Re: =?koi8-r?Q?[Comm]=9A2=9Aproxy?= From: "Nizamov Shavkat" To: community@altlinux.ru User-Agent: SquirrelMail/1.4.2 MIME-Version: 1.0 Content-Type: text/plain;charset=koi8-r Content-Transfer-Encoding: 8bit X-Priority: 3 Importance: Normal X-BeenThere: community@altlinux.ru X-Mailman-Version: 2.1.5 Precedence: list Reply-To: community@altlinux.ru List-Id: Mailing list for ALT Linux users List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Fri, 24 Sep 2004 17:04:48 -0000 Archived-At: List-Archive: List-Post: > Здравствуйте, All! > > Есть сетка, инет раздается через файрвол на > некоторые машины... > Но периодически появляются грамотные юзверя, > которые сатавят на эти машины проксю и ходят > через них в инет. Как бы на сервере отрубить > такие попытки, т.е. отследить соединение, > пришедшее с прокси. > это сложная задача, поскольку трудно отличить кто лезет в интернет - вэб-клиент или прокси. однако есть одна зацепка - прокси вставляет в http запрос поле X-forwarded-for, по которому можно судить что данный http-запрос сформирован проксей, а не просто броузером. таким образом в теории имеем решение - средствами iptables дропаем пакеты идущие на известные http порты - 80, 1080, 3128, 8080, 8081 и т.д, содержащие в теле пакета строчку X-Forwarded-For. этим мы рубим обмен по протоколу http. здесь есть одна сложность - такая функциональность была только привнесена в iptables на тот момент, когда меня интересовал такой же вопрос (год- полтора назад) - не то это был патч, не то плугин. как обстоит дело сейчас - пусть скажут спецы по iptables.