ALT Linux Community general discussions
 help / color / mirror / Atom feed
* [Comm] 2 proxy
@ 2004-09-24 14:17 dima
  2004-09-24 14:24 ` Макс
                   ` (6 more replies)
  0 siblings, 7 replies; 18+ messages in thread
From: dima @ 2004-09-24 14:17 UTC (permalink / raw)
  To: community

Здравствуйте, All!

Есть сетка, инет раздается через файрвол на
некоторые машины...
Но периодически появляются грамотные юзверя, 
которые сатавят на эти машины проксю и ходят 
через них в инет. Как бы на сервере отрубить 
такие попытки, т.е. отследить соединение,
пришедшее с прокси.

-- 
WBR, Dmitry Belyayev
email: dima@donauto.net.ua
icq:   228889622


^ permalink raw reply	[flat|nested] 18+ messages in thread

* RE: [Comm] 2 proxy
  2004-09-24 14:17 [Comm] 2 proxy dima
@ 2004-09-24 14:24 ` Макс
  2004-09-24 14:36 ` Vladimir Cherednichenko
                   ` (5 subsequent siblings)
  6 siblings, 0 replies; 18+ messages in thread
From: Макс @ 2004-09-24 14:24 UTC (permalink / raw)
  To: community

Ни как!

-----Original Message-----
From: community-bounces@altlinux.ru [mailto:community-bounces@altlinux.ru]
On Behalf Of dima@donauto.net.ua
Sent: Friday, September 24, 2004 6:17 PM
To: community@altlinux.ru
Subject: [Comm] 2 proxy

Здравствуйте, All!

Есть сетка, инет раздается через файрвол на
некоторые машины...
Но периодически появляются грамотные юзверя, 
которые сатавят на эти машины проксю и ходят 
через них в инет. Как бы на сервере отрубить 
такие попытки, т.е. отследить соединение,
пришедшее с прокси.

-- 
WBR, Dmitry Belyayev
email: dima@donauto.net.ua
icq:   228889622
_______________________________________________
Community mailing list
Community@altlinux.ru
https://lists.altlinux.ru/mailman/listinfo/community

^ permalink raw reply	[flat|nested] 18+ messages in thread

* Re: [Comm] 2 proxy
  2004-09-24 14:17 [Comm] 2 proxy dima
  2004-09-24 14:24 ` Макс
@ 2004-09-24 14:36 ` Vladimir Cherednichenko
  2004-09-24 14:47   ` dima
  2004-09-24 14:43 ` some_x
                   ` (4 subsequent siblings)
  6 siblings, 1 reply; 18+ messages in thread
From: Vladimir Cherednichenko @ 2004-09-24 14:36 UTC (permalink / raw)
  To: dima, community

В сообщении от Пятница 24 Сентябрь 2004 17:17 dima@donauto.net.ua написал(a):
> Здравствуйте, All!
>
> Есть сетка, инет раздается через файрвол на
> некоторые машины...
> Но периодически появляются грамотные юзверя,
> которые сатавят на эти машины проксю и ходят
> через них в инет. Как бы на сервере отрубить
> такие попытки, т.е. отследить соединение,
> пришедшее с прокси.

смотрите в сторону ebtables 

-- 
Best Regards, Vladimir Cherednichenko  
R.E.D Team | Admin
Ukraine | Kiev

^ permalink raw reply	[flat|nested] 18+ messages in thread

* Re: [Comm] 2 proxy
  2004-09-24 14:17 [Comm] 2 proxy dima
  2004-09-24 14:24 ` Макс
  2004-09-24 14:36 ` Vladimir Cherednichenko
@ 2004-09-24 14:43 ` some_x
  2004-09-24 14:54   ` Serge Polkovnikov
  2004-09-24 17:02 ` Nizamov Shavkat
                   ` (3 subsequent siblings)
  6 siblings, 1 reply; 18+ messages in thread
From: some_x @ 2004-09-24 14:43 UTC (permalink / raw)
  To: community

dima@donauto.net.ua wrote:

>Здравствуйте, All!
>
>Есть сетка, инет раздается через файрвол на
>некоторые машины...
>Но периодически появляются грамотные юзверя, 
>которые сатавят на эти машины проксю и ходят 
>через них в инет. Как бы на сервере отрубить 
>такие попытки, т.е. отследить соединение,
>пришедшее с прокси.
>
>  
>
По порту


^ permalink raw reply	[flat|nested] 18+ messages in thread

* Re: [Comm] 2 proxy
  2004-09-24 14:36 ` Vladimir Cherednichenko
@ 2004-09-24 14:47   ` dima
  0 siblings, 0 replies; 18+ messages in thread
From: dima @ 2004-09-24 14:47 UTC (permalink / raw)
  To: community

On Fri, Sep 24, 2004 at 05:36:20PM +0300, Vladimir Cherednichenko wrote:
> В сообщении от Пятница 24 Сентябрь 2004 17:17 dima@donauto.net.ua написал(a):> Здравствуйте, All!>> Есть сетка, инет раздается через файрвол на> некоторые машины...> Но периодически появляются грамотные юзверя,> которые сатавят на эти машины проксю и ходят> через них в инет. Как бы на сервере отрубить> такие попытки, т.е. отследить соединение,> пришедшее с прокси.
> смотрите в сторону ebtables 
> -- Best Regards, Vladimir Cherednichenko  R.E.D Team | AdminUkraine | Kiev

Насколько я понимаю, ebtables -- почти iptables,
только работают с MAC адресами.
Тоже самое можно сделать с помощью
iptables -m mac

но это не спасет от прокси на тачке с интернетом...

-- 
WBR, Dmitry Belyayev
email: dima@donauto.net.ua
icq:   228889622


^ permalink raw reply	[flat|nested] 18+ messages in thread

* Re: [Comm] 2 proxy
  2004-09-24 14:43 ` some_x
@ 2004-09-24 14:54   ` Serge Polkovnikov
  2004-09-24 15:07     ` some_x
  0 siblings, 1 reply; 18+ messages in thread
From: Serge Polkovnikov @ 2004-09-24 14:54 UTC (permalink / raw)
  To: community

[-- Attachment #1: Type: text/plain, Size: 122 bytes --]

п'ятниця, 24-вер-2004 17:43, some_x Ви написали:
> По порту

Интересно... По какому?

-- 
С уважением
 Сергей Полковников

[-- Attachment #2: signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

^ permalink raw reply	[flat|nested] 18+ messages in thread

* Re: [Comm] 2 proxy
  2004-09-24 14:54   ` Serge Polkovnikov
@ 2004-09-24 15:07     ` some_x
  2004-09-24 15:10       ` Serge Polkovnikov
  0 siblings, 1 reply; 18+ messages in thread
From: some_x @ 2004-09-24 15:07 UTC (permalink / raw)
  To: community

Serge Polkovnikov wrote:

>п'ятниця, 24-вер-2004 17:43, some_x Ви написали:
>  
>
>>По порту
>>    
>>
>
>Интересно... По какому?
>  
>
По стандартному для прокси.


^ permalink raw reply	[flat|nested] 18+ messages in thread

* Re: [Comm] 2 proxy
  2004-09-24 15:07     ` some_x
@ 2004-09-24 15:10       ` Serge Polkovnikov
  2004-09-24 15:39         ` some_x
  0 siblings, 1 reply; 18+ messages in thread
From: Serge Polkovnikov @ 2004-09-24 15:10 UTC (permalink / raw)
  To: community

[-- Attachment #1: Type: text/plain, Size: 204 bytes --]

п'ятниця, 24-вер-2004 18:07, some_x Ви написали:
> >Интересно... По какому?
> >  
>
> По стандартному для прокси.

Есть стандарный _исходящий_ порт для прокси-сервера?
-- 
С уважением
 Сергей Полковников

[-- Attachment #2: signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

^ permalink raw reply	[flat|nested] 18+ messages in thread

* Re: [Comm] 2 proxy
  2004-09-24 15:10       ` Serge Polkovnikov
@ 2004-09-24 15:39         ` some_x
  2004-09-24 18:11           ` Serge Polkovnikov
  0 siblings, 1 reply; 18+ messages in thread
From: some_x @ 2004-09-24 15:39 UTC (permalink / raw)
  To: community

Serge Polkovnikov wrote:

>п'ятниця, 24-вер-2004 18:07, some_x Ви написали:
>  
>
>>>Интересно... По какому?
>>> 
>>>      
>>>
>>По стандартному для прокси.
>>    
>>
>
>Есть стандарный _исходящий_ порт для прокси-сервера?
>  
>
80-й кажись



^ permalink raw reply	[flat|nested] 18+ messages in thread

* Re: [Comm] 2 proxy
  2004-09-24 14:17 [Comm] 2 proxy dima
                   ` (2 preceding siblings ...)
  2004-09-24 14:43 ` some_x
@ 2004-09-24 17:02 ` Nizamov Shavkat
  2004-09-25  3:24   ` Ivan Fedorov
  2004-09-24 18:41 ` Pavel Shurubura
                   ` (2 subsequent siblings)
  6 siblings, 1 reply; 18+ messages in thread
From: Nizamov Shavkat @ 2004-09-24 17:02 UTC (permalink / raw)
  To: community

> Здравствуйте, All!
>
> Есть сетка, инет раздается через файрвол на
> некоторые машины...
> Но периодически появляются грамотные юзверя,
> которые сатавят на эти машины проксю и ходят
> через них в инет. Как бы на сервере отрубить
> такие попытки, т.е. отследить соединение,
> пришедшее с прокси.
>

это сложная задача, поскольку трудно отличить кто лезет в интернет -
вэб-клиент или прокси. однако есть одна зацепка - прокси вставляет в http
запрос поле X-forwarded-for, по которому можно судить что данный
http-запрос сформирован проксей, а не просто броузером. таким образом в
теории имеем решение - средствами iptables дропаем пакеты идущие на
известные http порты - 80, 1080, 3128, 8080, 8081 и т.д, содержащие в теле
пакета строчку X-Forwarded-For. этим мы рубим обмен по протоколу http.

здесь есть одна сложность - такая функциональность была только привнесена
в iptables на тот момент, когда меня интересовал такой же вопрос (год-
полтора назад) - не то это был патч, не то плугин. как обстоит дело сейчас
- пусть скажут спецы по iptables.




^ permalink raw reply	[flat|nested] 18+ messages in thread

* Re: [Comm] 2 proxy
  2004-09-24 15:39         ` some_x
@ 2004-09-24 18:11           ` Serge Polkovnikov
  0 siblings, 0 replies; 18+ messages in thread
From: Serge Polkovnikov @ 2004-09-24 18:11 UTC (permalink / raw)
  To: community

[-- Attachment #1: Type: text/plain, Size: 397 bytes --]

п'ятниця, 24-вер-2004 18:39, some_x написал:
> Serge Polkovnikov wrote:
> >п'ятниця, 24-вер-2004 18:07, some_x Ви написали:
> >>>Интересно... По какому?
> >>
> >>По стандартному для прокси.
> >
> >Есть стандарный _исходящий_ порт для прокси-сервера?
>
> 80-й кажись
>
Извините, но мне кажется, что Вы "плаваете" в материале...

-- 
С уважением,
   Сергей Полковников        JID: p_serge@jabber.ru

[-- Attachment #2: signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

^ permalink raw reply	[flat|nested] 18+ messages in thread

* Re: [Comm] 2 proxy
  2004-09-24 14:17 [Comm] 2 proxy dima
                   ` (3 preceding siblings ...)
  2004-09-24 17:02 ` Nizamov Shavkat
@ 2004-09-24 18:41 ` Pavel Shurubura
  2004-09-25  3:23   ` Ivan Fedorov
  2004-09-24 19:00 ` dm
  2004-09-26  9:43 ` [Comm] " Michael Shigorin
  6 siblings, 1 reply; 18+ messages in thread
From: Pavel Shurubura @ 2004-09-24 18:41 UTC (permalink / raw)
  To: community

А чем для Вас это черевато ?
Пусть ходят через прокси. Почему Вас это беспокоит ?


> Есть сетка, инет раздается через файрвол на
> некоторые машины...
> Но периодически появляются грамотные юзверя, 
> которые сатавят на эти машины проксю и ходят 
> через них в инет. Как бы на сервере отрубить 
> такие попытки, т.е. отследить соединение,
> пришедшее с прокси.


-- 
With kindest regards, Pavel.


^ permalink raw reply	[flat|nested] 18+ messages in thread

* Re: [Comm] 2 proxy
  2004-09-24 14:17 [Comm] 2 proxy dima
                   ` (4 preceding siblings ...)
  2004-09-24 18:41 ` Pavel Shurubura
@ 2004-09-24 19:00 ` dm
  2004-09-25  4:41   ` Nizamov Shavkat
  2004-09-26  9:43 ` [Comm] " Michael Shigorin
  6 siblings, 1 reply; 18+ messages in thread
From: dm @ 2004-09-24 19:00 UTC (permalink / raw)
  To: dima, community

Здравствуйте, dima@donauto.net.ua!

Пятница 24 Сентябрь 2004 18:17, Вы писали:

> Есть сетка, инет раздается через файрвол на
> некоторые машины...
> Но периодически появляются грамотные юзверя,
> которые сатавят на эти машины проксю и ходят
> через них в инет. Как бы на сервере отрубить
> такие попытки, т.е. отследить соединение,
> пришедшее с прокси.

Мне представляется, что Вы немного не с того конца берётесь за это дело. 
Решайте вопрос прежде всего организационными, а не техническими мерами. 
В противном случае просто получите <<соревнование брони и снаряда>>, 
которое никуда не ведёт. Даже если, как написано в соседней ветке, Вы 
научитесь ловить пакеты прокси по каким-либо признакам, кто-нибудь 
просто найдёт способ обходить и эту защиту, только и всего.

-- 
-------------------------------------
dm <deadmustdie at pisem point net>


^ permalink raw reply	[flat|nested] 18+ messages in thread

* Re: [Comm] 2 proxy
  2004-09-24 18:41 ` Pavel Shurubura
@ 2004-09-25  3:23   ` Ivan Fedorov
  0 siblings, 0 replies; 18+ messages in thread
From: Ivan Fedorov @ 2004-09-25  3:23 UTC (permalink / raw)
  To: community

[-- Attachment #1: Type: text/plain, Size: 159 bytes --]

Pavel Shurubura пишет:
> А чем для Вас это черевато ?
> Пусть ходят через прокси. Почему Вас это беспокоит ?
Через прокси у него ходят те, кому не положено...

[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

^ permalink raw reply	[flat|nested] 18+ messages in thread

* Re: [Comm] 2 proxy
  2004-09-24 17:02 ` Nizamov Shavkat
@ 2004-09-25  3:24   ` Ivan Fedorov
  0 siblings, 0 replies; 18+ messages in thread
From: Ivan Fedorov @ 2004-09-25  3:24 UTC (permalink / raw)
  To: community

[-- Attachment #1: Type: text/plain, Size: 1163 bytes --]

Nizamov Shavkat пишет:
>>Здравствуйте, All!
>>
>>Есть сетка, инет раздается через файрвол на
>>некоторые машины...
>>Но периодически появляются грамотные юзверя,
>>которые сатавят на эти машины проксю и ходят
>>через них в инет. Как бы на сервере отрубить
>>такие попытки, т.е. отследить соединение,
>>пришедшее с прокси.
>>
> 
> это сложная задача, поскольку трудно отличить кто лезет в интернет -
> вэб-клиент или прокси. однако есть одна зацепка - прокси вставляет в http
> запрос поле X-forwarded-for, по которому можно судить что данный
> http-запрос сформирован проксей, а не просто броузером. таким образом в
> теории имеем решение - средствами iptables дропаем пакеты идущие на
> известные http порты - 80, 1080, 3128, 8080, 8081 и т.д, содержащие в теле
> пакета строчку X-Forwarded-For. этим мы рубим обмен по протоколу http.
> 
> здесь есть одна сложность - такая функциональность была только привнесена
> в iptables на тот момент, когда меня интересовал такой же вопрос (год-
> полтора назад) - не то это был патч, не то плугин. как обстоит дело сейчас
> - пусть скажут спецы по iptables.

http://l7-filter.sourceforge.net/
Может оно сможет помочь?..

[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

^ permalink raw reply	[flat|nested] 18+ messages in thread

* Re: [Comm] 2 proxy
  2004-09-24 19:00 ` dm
@ 2004-09-25  4:41   ` Nizamov Shavkat
  2004-09-28 12:30     ` Antonio
  0 siblings, 1 reply; 18+ messages in thread
From: Nizamov Shavkat @ 2004-09-25  4:41 UTC (permalink / raw)
  To: community

> Здравствуйте, dima@donauto.net.ua!
>
> Пятница 24 Сентябрь 2004 18:17, Вы писали:
>
>> Есть сетка, инет раздается через файрвол на
>> некоторые машины...
>> Но периодически появляются грамотные юзверя,
>> которые сатавят на эти машины проксю и ходят
>> через них в инет. Как бы на сервере отрубить
>> такие попытки, т.е. отследить соединение,
>> пришедшее с прокси.
>
> Мне представляется, что Вы немного не с того конца берётесь за это дело.
> Решайте вопрос прежде всего организационными, а не техническими мерами.
> В противном случае просто получите <<соревнование брони и снаряда>>,
> которое никуда не ведёт. Даже если, как написано в соседней ветке, Вы
> научитесь ловить пакеты прокси по каким-либо признакам, кто-нибудь
> просто найдёт способ обходить и эту защиту, только и всего.
>

могу даже предложить как обойти %)
1) пропатчить проксю на предмет удаления x-forwarded-for. AFAIK это просто
информативное поле, то есть если его убрать прокся будет работатать точно
так же что и ранее.

2) вариант предыдущего - обычным hexedit ом покоцать бинарник прокси на
предмет изменения текстовой строчки x-forwarded-for на нечто другое

3) пользовать не http прокси а socks. AFAIK socks работает примерно на
таком же принципе что и нат, то есть "отсебятину" не вставляет. здесь могу
ошибаться поскольку с socks не знаком

4) самый простой - ставить не прокси а обычный нат.

Но на это админ может ответить следующим образом

1) ограничить канал на ip-адрес скажем на уровне 2-3-4 кбайт-с Один
пользователь еще сможет нормально работать, двое уже будут значительно
мешать друг-другу, а 3 и больше пользователей  на один канал напомнят
печальную картину "интернет-кафе всего несколько лет назад".
делается это средствами squid или iptables, поможет в любом случае.

2) ограничить количество коннектов (сессик) с одного ip-адреса -
посредством сквида acl maxconn (или же iptables - если у него есть такая
фича ). тоже хороший вариант

3) вот неуверен насчет ttl пакетов - nat уменьшает его или нет ? если
уменьшает - то опять таки Iptables в руки и режем пакеты с меньшим ttl.
хотя вряд ли - нат это не роутинг.

4) дать по голове сильно-сильно


^ permalink raw reply	[flat|nested] 18+ messages in thread

* [Comm] Re: 2 proxy
  2004-09-24 14:17 [Comm] 2 proxy dima
                   ` (5 preceding siblings ...)
  2004-09-24 19:00 ` dm
@ 2004-09-26  9:43 ` Michael Shigorin
  6 siblings, 0 replies; 18+ messages in thread
From: Michael Shigorin @ 2004-09-26  9:43 UTC (permalink / raw)
  To: community; +Cc: dima

On Fri, Sep 24, 2004 at 05:17:20PM +0300, dima@donauto.net.ua wrote:
> Есть сетка, инет раздается через файрвол на некоторые машины...
> Но периодически появляются грамотные юзверя, которые сатавят на
> эти машины проксю и ходят через них в инет.

Раздавайте через авторизованный прокси.  Кто других в свою квоту
пустит (по полосе/объёму) -- тот уже ССЗБ, ну и ловить проще
будет.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/


^ permalink raw reply	[flat|nested] 18+ messages in thread

* Re: [Comm] 2 proxy
  2004-09-25  4:41   ` Nizamov Shavkat
@ 2004-09-28 12:30     ` Antonio
  0 siblings, 0 replies; 18+ messages in thread
From: Antonio @ 2004-09-28 12:30 UTC (permalink / raw)
  To: community

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

On Sat, 25 Sep 2004, Nizamov Shavkat wrote:

> 3) вот неуверен насчет ttl пакетов - nat уменьшает его или нет ? если
> уменьшает - то опять таки Iptables в руки и режем пакеты с меньшим ttl.

Обычно уменьшает (прим. 1). Но можно попросить, чтобы не
уменьшал. ;-)  Кстати, против "чайников" (см. прим. 1)  с натом
помогает принудительное выставление TTL в единицу...

Вообще, IMHO, наиболее правильный метод -- административный,
потом -- предложенная ранее авторизация.

P.S. [offtopic] Сдаётся мне, что автор ветки -- либо
представитель так называемых "домашних сетей", предлагающих
дешёвый "unlimited" трафик и живущих главным образом за счёт
подключения клиентов, а не абонентки/оплаты трафика либо админ в
некоей конторе, где хитро#$пые юзера на халявку подворовывают
трафик.

- -- 
Best regards,
	Tony.			mailto:obidos@mail.ru
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.0 (GNU/Linux)

iD8DBQFBWVlf2gaLrWRbr5URAj2PAJ0YqoAUT8mJMefnBBuNYKIIEIR3SwCffopa
6b4deqxaCj2BhRVe0jdrN3M=
=X9Ht
-----END PGP SIGNATURE-----






^ permalink raw reply	[flat|nested] 18+ messages in thread

end of thread, other threads:[~2004-09-28 12:30 UTC | newest]

Thread overview: 18+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2004-09-24 14:17 [Comm] 2 proxy dima
2004-09-24 14:24 ` Макс
2004-09-24 14:36 ` Vladimir Cherednichenko
2004-09-24 14:47   ` dima
2004-09-24 14:43 ` some_x
2004-09-24 14:54   ` Serge Polkovnikov
2004-09-24 15:07     ` some_x
2004-09-24 15:10       ` Serge Polkovnikov
2004-09-24 15:39         ` some_x
2004-09-24 18:11           ` Serge Polkovnikov
2004-09-24 17:02 ` Nizamov Shavkat
2004-09-25  3:24   ` Ivan Fedorov
2004-09-24 18:41 ` Pavel Shurubura
2004-09-25  3:23   ` Ivan Fedorov
2004-09-24 19:00 ` dm
2004-09-25  4:41   ` Nizamov Shavkat
2004-09-28 12:30     ` Antonio
2004-09-26  9:43 ` [Comm] " Michael Shigorin

ALT Linux Community general discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
		mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
	public-inbox-index community

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.community


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git