From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <shawkat@samdu.uz>
Message-ID: <36806.194.67.216.220.1096087281.squirrel@www.samdu.uz>
In-Reply-To: <200409242300.08394.dead-mustdie@nm.ru>
References: <20040924141720.GA30143@donauto.net.ua>
	<200409242300.08394.dead-mustdie@nm.ru>
Date: Sat, 25 Sep 2004 09:41:21 +0500 (UZT)
Subject: Re: [Comm] 2 proxy
From: "Nizamov Shavkat" <shawkat@samdu.uz>
To: community@altlinux.ru
User-Agent: SquirrelMail/1.4.2
MIME-Version: 1.0
Content-Type: text/plain;charset=koi8-r
Content-Transfer-Encoding: 8bit
X-Priority: 3
Importance: Normal
X-BeenThere: community@altlinux.ru
X-Mailman-Version: 2.1.5
Precedence: list
Reply-To: community@altlinux.ru
List-Id: Mailing list for ALT Linux users <community.altlinux.ru>
List-Unsubscribe: <https://lists.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=unsubscribe>
List-Archive: <http://lists.altlinux.ru/pipermail/community>
List-Post: <mailto:community@altlinux.ru>
List-Help: <mailto:community-request@altlinux.ru?subject=help>
List-Subscribe: <https://lists.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=subscribe>
X-List-Received-Date: Sat, 25 Sep 2004 04:43:12 -0000
Archived-At: <http://lore.altlinux.org/community/36806.194.67.216.220.1096087281.squirrel@www.samdu.uz/>
List-Archive: <http://lore.altlinux.org/community/>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>

> Здравствуйте, dima@donauto.net.ua!
>
> Пятница 24 Сентябрь 2004 18:17, Вы писали:
>
>> Есть сетка, инет раздается через файрвол на
>> некоторые машины...
>> Но периодически появляются грамотные юзверя,
>> которые сатавят на эти машины проксю и ходят
>> через них в инет. Как бы на сервере отрубить
>> такие попытки, т.е. отследить соединение,
>> пришедшее с прокси.
>
> Мне представляется, что Вы немного не с того конца берётесь за это дело.
> Решайте вопрос прежде всего организационными, а не техническими мерами.
> В противном случае просто получите <<соревнование брони и снаряда>>,
> которое никуда не ведёт. Даже если, как написано в соседней ветке, Вы
> научитесь ловить пакеты прокси по каким-либо признакам, кто-нибудь
> просто найдёт способ обходить и эту защиту, только и всего.
>

могу даже предложить как обойти %)
1) пропатчить проксю на предмет удаления x-forwarded-for. AFAIK это просто
информативное поле, то есть если его убрать прокся будет работатать точно
так же что и ранее.

2) вариант предыдущего - обычным hexedit ом покоцать бинарник прокси на
предмет изменения текстовой строчки x-forwarded-for на нечто другое

3) пользовать не http прокси а socks. AFAIK socks работает примерно на
таком же принципе что и нат, то есть "отсебятину" не вставляет. здесь могу
ошибаться поскольку с socks не знаком

4) самый простой - ставить не прокси а обычный нат.

Но на это админ может ответить следующим образом

1) ограничить канал на ip-адрес скажем на уровне 2-3-4 кбайт-с Один
пользователь еще сможет нормально работать, двое уже будут значительно
мешать друг-другу, а 3 и больше пользователей  на один канал напомнят
печальную картину "интернет-кафе всего несколько лет назад".
делается это средствами squid или iptables, поможет в любом случае.

2) ограничить количество коннектов (сессик) с одного ip-адреса -
посредством сквида acl maxconn (или же iptables - если у него есть такая
фича ). тоже хороший вариант

3) вот неуверен насчет ttl пакетов - nat уменьшает его или нет ? если
уменьшает - то опять таки Iptables в руки и режем пакеты с меньшим ttl.
хотя вряд ли - нат это не роутинг.

4) дать по голове сильно-сильно