From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Message-ID: <36806.194.67.216.220.1096087281.squirrel@www.samdu.uz> In-Reply-To: <200409242300.08394.dead-mustdie@nm.ru> References: <20040924141720.GA30143@donauto.net.ua> <200409242300.08394.dead-mustdie@nm.ru> Date: Sat, 25 Sep 2004 09:41:21 +0500 (UZT) Subject: Re: [Comm] 2 proxy From: "Nizamov Shavkat" To: community@altlinux.ru User-Agent: SquirrelMail/1.4.2 MIME-Version: 1.0 Content-Type: text/plain;charset=koi8-r Content-Transfer-Encoding: 8bit X-Priority: 3 Importance: Normal X-BeenThere: community@altlinux.ru X-Mailman-Version: 2.1.5 Precedence: list Reply-To: community@altlinux.ru List-Id: Mailing list for ALT Linux users List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Sat, 25 Sep 2004 04:43:12 -0000 Archived-At: List-Archive: List-Post: > Здравствуйте, dima@donauto.net.ua! > > Пятница 24 Сентябрь 2004 18:17, Вы писали: > >> Есть сетка, инет раздается через файрвол на >> некоторые машины... >> Но периодически появляются грамотные юзверя, >> которые сатавят на эти машины проксю и ходят >> через них в инет. Как бы на сервере отрубить >> такие попытки, т.е. отследить соединение, >> пришедшее с прокси. > > Мне представляется, что Вы немного не с того конца берётесь за это дело. > Решайте вопрос прежде всего организационными, а не техническими мерами. > В противном случае просто получите <<соревнование брони и снаряда>>, > которое никуда не ведёт. Даже если, как написано в соседней ветке, Вы > научитесь ловить пакеты прокси по каким-либо признакам, кто-нибудь > просто найдёт способ обходить и эту защиту, только и всего. > могу даже предложить как обойти %) 1) пропатчить проксю на предмет удаления x-forwarded-for. AFAIK это просто информативное поле, то есть если его убрать прокся будет работатать точно так же что и ранее. 2) вариант предыдущего - обычным hexedit ом покоцать бинарник прокси на предмет изменения текстовой строчки x-forwarded-for на нечто другое 3) пользовать не http прокси а socks. AFAIK socks работает примерно на таком же принципе что и нат, то есть "отсебятину" не вставляет. здесь могу ошибаться поскольку с socks не знаком 4) самый простой - ставить не прокси а обычный нат. Но на это админ может ответить следующим образом 1) ограничить канал на ip-адрес скажем на уровне 2-3-4 кбайт-с Один пользователь еще сможет нормально работать, двое уже будут значительно мешать друг-другу, а 3 и больше пользователей на один канал напомнят печальную картину "интернет-кафе всего несколько лет назад". делается это средствами squid или iptables, поможет в любом случае. 2) ограничить количество коннектов (сессик) с одного ip-адреса - посредством сквида acl maxconn (или же iptables - если у него есть такая фича ). тоже хороший вариант 3) вот неуверен насчет ttl пакетов - nat уменьшает его или нет ? если уменьшает - то опять таки Iptables в руки и режем пакеты с меньшим ttl. хотя вряд ли - нат это не роутинг. 4) дать по голове сильно-сильно