* [Comm] 2 proxy
@ 2004-09-24 14:17 dima
2004-09-24 14:24 ` Макс
` (6 more replies)
0 siblings, 7 replies; 18+ messages in thread
From: dima @ 2004-09-24 14:17 UTC (permalink / raw)
To: community
Здравствуйте, All!
Есть сетка, инет раздается через файрвол на
некоторые машины...
Но периодически появляются грамотные юзверя,
которые сатавят на эти машины проксю и ходят
через них в инет. Как бы на сервере отрубить
такие попытки, т.е. отследить соединение,
пришедшее с прокси.
--
WBR, Dmitry Belyayev
email: dima@donauto.net.ua
icq: 228889622
^ permalink raw reply [flat|nested] 18+ messages in thread
* RE: [Comm] 2 proxy
2004-09-24 14:17 [Comm] 2 proxy dima
@ 2004-09-24 14:24 ` Макс
2004-09-24 14:36 ` Vladimir Cherednichenko
` (5 subsequent siblings)
6 siblings, 0 replies; 18+ messages in thread
From: Макс @ 2004-09-24 14:24 UTC (permalink / raw)
To: community
Ни как!
-----Original Message-----
From: community-bounces@altlinux.ru [mailto:community-bounces@altlinux.ru]
On Behalf Of dima@donauto.net.ua
Sent: Friday, September 24, 2004 6:17 PM
To: community@altlinux.ru
Subject: [Comm] 2 proxy
Здравствуйте, All!
Есть сетка, инет раздается через файрвол на
некоторые машины...
Но периодически появляются грамотные юзверя,
которые сатавят на эти машины проксю и ходят
через них в инет. Как бы на сервере отрубить
такие попытки, т.е. отследить соединение,
пришедшее с прокси.
--
WBR, Dmitry Belyayev
email: dima@donauto.net.ua
icq: 228889622
_______________________________________________
Community mailing list
Community@altlinux.ru
https://lists.altlinux.ru/mailman/listinfo/community
^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Comm] 2 proxy
2004-09-24 14:17 [Comm] 2 proxy dima
2004-09-24 14:24 ` Макс
@ 2004-09-24 14:36 ` Vladimir Cherednichenko
2004-09-24 14:47 ` dima
2004-09-24 14:43 ` some_x
` (4 subsequent siblings)
6 siblings, 1 reply; 18+ messages in thread
From: Vladimir Cherednichenko @ 2004-09-24 14:36 UTC (permalink / raw)
To: dima, community
В сообщении от Пятница 24 Сентябрь 2004 17:17 dima@donauto.net.ua написал(a):
> Здравствуйте, All!
>
> Есть сетка, инет раздается через файрвол на
> некоторые машины...
> Но периодически появляются грамотные юзверя,
> которые сатавят на эти машины проксю и ходят
> через них в инет. Как бы на сервере отрубить
> такие попытки, т.е. отследить соединение,
> пришедшее с прокси.
смотрите в сторону ebtables
--
Best Regards, Vladimir Cherednichenko
R.E.D Team | Admin
Ukraine | Kiev
^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Comm] 2 proxy
2004-09-24 14:17 [Comm] 2 proxy dima
2004-09-24 14:24 ` Макс
2004-09-24 14:36 ` Vladimir Cherednichenko
@ 2004-09-24 14:43 ` some_x
2004-09-24 14:54 ` Serge Polkovnikov
2004-09-24 17:02 ` Nizamov Shavkat
` (3 subsequent siblings)
6 siblings, 1 reply; 18+ messages in thread
From: some_x @ 2004-09-24 14:43 UTC (permalink / raw)
To: community
dima@donauto.net.ua wrote:
>Здравствуйте, All!
>
>Есть сетка, инет раздается через файрвол на
>некоторые машины...
>Но периодически появляются грамотные юзверя,
>которые сатавят на эти машины проксю и ходят
>через них в инет. Как бы на сервере отрубить
>такие попытки, т.е. отследить соединение,
>пришедшее с прокси.
>
>
>
По порту
^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Comm] 2 proxy
2004-09-24 14:36 ` Vladimir Cherednichenko
@ 2004-09-24 14:47 ` dima
0 siblings, 0 replies; 18+ messages in thread
From: dima @ 2004-09-24 14:47 UTC (permalink / raw)
To: community
On Fri, Sep 24, 2004 at 05:36:20PM +0300, Vladimir Cherednichenko wrote:
> В сообщении от Пятница 24 Сентябрь 2004 17:17 dima@donauto.net.ua написал(a):> Здравствуйте, All!>> Есть сетка, инет раздается через файрвол на> некоторые машины...> Но периодически появляются грамотные юзверя,> которые сатавят на эти машины проксю и ходят> через них в инет. Как бы на сервере отрубить> такие попытки, т.е. отследить соединение,> пришедшее с прокси.
> смотрите в сторону ebtables
> -- Best Regards, Vladimir Cherednichenko R.E.D Team | AdminUkraine | Kiev
Насколько я понимаю, ebtables -- почти iptables,
только работают с MAC адресами.
Тоже самое можно сделать с помощью
iptables -m mac
но это не спасет от прокси на тачке с интернетом...
--
WBR, Dmitry Belyayev
email: dima@donauto.net.ua
icq: 228889622
^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Comm] 2 proxy
2004-09-24 14:43 ` some_x
@ 2004-09-24 14:54 ` Serge Polkovnikov
2004-09-24 15:07 ` some_x
0 siblings, 1 reply; 18+ messages in thread
From: Serge Polkovnikov @ 2004-09-24 14:54 UTC (permalink / raw)
To: community
[-- Attachment #1: Type: text/plain, Size: 122 bytes --]
п'ятниця, 24-вер-2004 17:43, some_x Ви написали:
> По порту
Интересно... По какому?
--
С уважением
Сергей Полковников
[-- Attachment #2: signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Comm] 2 proxy
2004-09-24 14:54 ` Serge Polkovnikov
@ 2004-09-24 15:07 ` some_x
2004-09-24 15:10 ` Serge Polkovnikov
0 siblings, 1 reply; 18+ messages in thread
From: some_x @ 2004-09-24 15:07 UTC (permalink / raw)
To: community
Serge Polkovnikov wrote:
>п'ятниця, 24-вер-2004 17:43, some_x Ви написали:
>
>
>>По порту
>>
>>
>
>Интересно... По какому?
>
>
По стандартному для прокси.
^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Comm] 2 proxy
2004-09-24 15:07 ` some_x
@ 2004-09-24 15:10 ` Serge Polkovnikov
2004-09-24 15:39 ` some_x
0 siblings, 1 reply; 18+ messages in thread
From: Serge Polkovnikov @ 2004-09-24 15:10 UTC (permalink / raw)
To: community
[-- Attachment #1: Type: text/plain, Size: 204 bytes --]
п'ятниця, 24-вер-2004 18:07, some_x Ви написали:
> >Интересно... По какому?
> >
>
> По стандартному для прокси.
Есть стандарный _исходящий_ порт для прокси-сервера?
--
С уважением
Сергей Полковников
[-- Attachment #2: signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Comm] 2 proxy
2004-09-24 15:10 ` Serge Polkovnikov
@ 2004-09-24 15:39 ` some_x
2004-09-24 18:11 ` Serge Polkovnikov
0 siblings, 1 reply; 18+ messages in thread
From: some_x @ 2004-09-24 15:39 UTC (permalink / raw)
To: community
Serge Polkovnikov wrote:
>п'ятниця, 24-вер-2004 18:07, some_x Ви написали:
>
>
>>>Интересно... По какому?
>>>
>>>
>>>
>>По стандартному для прокси.
>>
>>
>
>Есть стандарный _исходящий_ порт для прокси-сервера?
>
>
80-й кажись
^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Comm] 2 proxy
2004-09-24 14:17 [Comm] 2 proxy dima
` (2 preceding siblings ...)
2004-09-24 14:43 ` some_x
@ 2004-09-24 17:02 ` Nizamov Shavkat
2004-09-25 3:24 ` Ivan Fedorov
2004-09-24 18:41 ` Pavel Shurubura
` (2 subsequent siblings)
6 siblings, 1 reply; 18+ messages in thread
From: Nizamov Shavkat @ 2004-09-24 17:02 UTC (permalink / raw)
To: community
> Здравствуйте, All!
>
> Есть сетка, инет раздается через файрвол на
> некоторые машины...
> Но периодически появляются грамотные юзверя,
> которые сатавят на эти машины проксю и ходят
> через них в инет. Как бы на сервере отрубить
> такие попытки, т.е. отследить соединение,
> пришедшее с прокси.
>
это сложная задача, поскольку трудно отличить кто лезет в интернет -
вэб-клиент или прокси. однако есть одна зацепка - прокси вставляет в http
запрос поле X-forwarded-for, по которому можно судить что данный
http-запрос сформирован проксей, а не просто броузером. таким образом в
теории имеем решение - средствами iptables дропаем пакеты идущие на
известные http порты - 80, 1080, 3128, 8080, 8081 и т.д, содержащие в теле
пакета строчку X-Forwarded-For. этим мы рубим обмен по протоколу http.
здесь есть одна сложность - такая функциональность была только привнесена
в iptables на тот момент, когда меня интересовал такой же вопрос (год-
полтора назад) - не то это был патч, не то плугин. как обстоит дело сейчас
- пусть скажут спецы по iptables.
^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Comm] 2 proxy
2004-09-24 15:39 ` some_x
@ 2004-09-24 18:11 ` Serge Polkovnikov
0 siblings, 0 replies; 18+ messages in thread
From: Serge Polkovnikov @ 2004-09-24 18:11 UTC (permalink / raw)
To: community
[-- Attachment #1: Type: text/plain, Size: 397 bytes --]
п'ятниця, 24-вер-2004 18:39, some_x написал:
> Serge Polkovnikov wrote:
> >п'ятниця, 24-вер-2004 18:07, some_x Ви написали:
> >>>Интересно... По какому?
> >>
> >>По стандартному для прокси.
> >
> >Есть стандарный _исходящий_ порт для прокси-сервера?
>
> 80-й кажись
>
Извините, но мне кажется, что Вы "плаваете" в материале...
--
С уважением,
Сергей Полковников JID: p_serge@jabber.ru
[-- Attachment #2: signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Comm] 2 proxy
2004-09-24 14:17 [Comm] 2 proxy dima
` (3 preceding siblings ...)
2004-09-24 17:02 ` Nizamov Shavkat
@ 2004-09-24 18:41 ` Pavel Shurubura
2004-09-25 3:23 ` Ivan Fedorov
2004-09-24 19:00 ` dm
2004-09-26 9:43 ` [Comm] " Michael Shigorin
6 siblings, 1 reply; 18+ messages in thread
From: Pavel Shurubura @ 2004-09-24 18:41 UTC (permalink / raw)
To: community
А чем для Вас это черевато ?
Пусть ходят через прокси. Почему Вас это беспокоит ?
> Есть сетка, инет раздается через файрвол на
> некоторые машины...
> Но периодически появляются грамотные юзверя,
> которые сатавят на эти машины проксю и ходят
> через них в инет. Как бы на сервере отрубить
> такие попытки, т.е. отследить соединение,
> пришедшее с прокси.
--
With kindest regards, Pavel.
^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Comm] 2 proxy
2004-09-24 14:17 [Comm] 2 proxy dima
` (4 preceding siblings ...)
2004-09-24 18:41 ` Pavel Shurubura
@ 2004-09-24 19:00 ` dm
2004-09-25 4:41 ` Nizamov Shavkat
2004-09-26 9:43 ` [Comm] " Michael Shigorin
6 siblings, 1 reply; 18+ messages in thread
From: dm @ 2004-09-24 19:00 UTC (permalink / raw)
To: dima, community
Здравствуйте, dima@donauto.net.ua!
Пятница 24 Сентябрь 2004 18:17, Вы писали:
> Есть сетка, инет раздается через файрвол на
> некоторые машины...
> Но периодически появляются грамотные юзверя,
> которые сатавят на эти машины проксю и ходят
> через них в инет. Как бы на сервере отрубить
> такие попытки, т.е. отследить соединение,
> пришедшее с прокси.
Мне представляется, что Вы немного не с того конца берётесь за это дело.
Решайте вопрос прежде всего организационными, а не техническими мерами.
В противном случае просто получите <<соревнование брони и снаряда>>,
которое никуда не ведёт. Даже если, как написано в соседней ветке, Вы
научитесь ловить пакеты прокси по каким-либо признакам, кто-нибудь
просто найдёт способ обходить и эту защиту, только и всего.
--
-------------------------------------
dm <deadmustdie at pisem point net>
^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Comm] 2 proxy
2004-09-24 18:41 ` Pavel Shurubura
@ 2004-09-25 3:23 ` Ivan Fedorov
0 siblings, 0 replies; 18+ messages in thread
From: Ivan Fedorov @ 2004-09-25 3:23 UTC (permalink / raw)
To: community
[-- Attachment #1: Type: text/plain, Size: 159 bytes --]
Pavel Shurubura пишет:
> А чем для Вас это черевато ?
> Пусть ходят через прокси. Почему Вас это беспокоит ?
Через прокси у него ходят те, кому не положено...
[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Comm] 2 proxy
2004-09-24 17:02 ` Nizamov Shavkat
@ 2004-09-25 3:24 ` Ivan Fedorov
0 siblings, 0 replies; 18+ messages in thread
From: Ivan Fedorov @ 2004-09-25 3:24 UTC (permalink / raw)
To: community
[-- Attachment #1: Type: text/plain, Size: 1163 bytes --]
Nizamov Shavkat пишет:
>>Здравствуйте, All!
>>
>>Есть сетка, инет раздается через файрвол на
>>некоторые машины...
>>Но периодически появляются грамотные юзверя,
>>которые сатавят на эти машины проксю и ходят
>>через них в инет. Как бы на сервере отрубить
>>такие попытки, т.е. отследить соединение,
>>пришедшее с прокси.
>>
>
> это сложная задача, поскольку трудно отличить кто лезет в интернет -
> вэб-клиент или прокси. однако есть одна зацепка - прокси вставляет в http
> запрос поле X-forwarded-for, по которому можно судить что данный
> http-запрос сформирован проксей, а не просто броузером. таким образом в
> теории имеем решение - средствами iptables дропаем пакеты идущие на
> известные http порты - 80, 1080, 3128, 8080, 8081 и т.д, содержащие в теле
> пакета строчку X-Forwarded-For. этим мы рубим обмен по протоколу http.
>
> здесь есть одна сложность - такая функциональность была только привнесена
> в iptables на тот момент, когда меня интересовал такой же вопрос (год-
> полтора назад) - не то это был патч, не то плугин. как обстоит дело сейчас
> - пусть скажут спецы по iptables.
http://l7-filter.sourceforge.net/
Может оно сможет помочь?..
[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Comm] 2 proxy
2004-09-24 19:00 ` dm
@ 2004-09-25 4:41 ` Nizamov Shavkat
2004-09-28 12:30 ` Antonio
0 siblings, 1 reply; 18+ messages in thread
From: Nizamov Shavkat @ 2004-09-25 4:41 UTC (permalink / raw)
To: community
> Здравствуйте, dima@donauto.net.ua!
>
> Пятница 24 Сентябрь 2004 18:17, Вы писали:
>
>> Есть сетка, инет раздается через файрвол на
>> некоторые машины...
>> Но периодически появляются грамотные юзверя,
>> которые сатавят на эти машины проксю и ходят
>> через них в инет. Как бы на сервере отрубить
>> такие попытки, т.е. отследить соединение,
>> пришедшее с прокси.
>
> Мне представляется, что Вы немного не с того конца берётесь за это дело.
> Решайте вопрос прежде всего организационными, а не техническими мерами.
> В противном случае просто получите <<соревнование брони и снаряда>>,
> которое никуда не ведёт. Даже если, как написано в соседней ветке, Вы
> научитесь ловить пакеты прокси по каким-либо признакам, кто-нибудь
> просто найдёт способ обходить и эту защиту, только и всего.
>
могу даже предложить как обойти %)
1) пропатчить проксю на предмет удаления x-forwarded-for. AFAIK это просто
информативное поле, то есть если его убрать прокся будет работатать точно
так же что и ранее.
2) вариант предыдущего - обычным hexedit ом покоцать бинарник прокси на
предмет изменения текстовой строчки x-forwarded-for на нечто другое
3) пользовать не http прокси а socks. AFAIK socks работает примерно на
таком же принципе что и нат, то есть "отсебятину" не вставляет. здесь могу
ошибаться поскольку с socks не знаком
4) самый простой - ставить не прокси а обычный нат.
Но на это админ может ответить следующим образом
1) ограничить канал на ip-адрес скажем на уровне 2-3-4 кбайт-с Один
пользователь еще сможет нормально работать, двое уже будут значительно
мешать друг-другу, а 3 и больше пользователей на один канал напомнят
печальную картину "интернет-кафе всего несколько лет назад".
делается это средствами squid или iptables, поможет в любом случае.
2) ограничить количество коннектов (сессик) с одного ip-адреса -
посредством сквида acl maxconn (или же iptables - если у него есть такая
фича ). тоже хороший вариант
3) вот неуверен насчет ttl пакетов - nat уменьшает его или нет ? если
уменьшает - то опять таки Iptables в руки и режем пакеты с меньшим ttl.
хотя вряд ли - нат это не роутинг.
4) дать по голове сильно-сильно
^ permalink raw reply [flat|nested] 18+ messages in thread
* [Comm] Re: 2 proxy
2004-09-24 14:17 [Comm] 2 proxy dima
` (5 preceding siblings ...)
2004-09-24 19:00 ` dm
@ 2004-09-26 9:43 ` Michael Shigorin
6 siblings, 0 replies; 18+ messages in thread
From: Michael Shigorin @ 2004-09-26 9:43 UTC (permalink / raw)
To: community; +Cc: dima
On Fri, Sep 24, 2004 at 05:17:20PM +0300, dima@donauto.net.ua wrote:
> Есть сетка, инет раздается через файрвол на некоторые машины...
> Но периодически появляются грамотные юзверя, которые сатавят на
> эти машины проксю и ходят через них в инет.
Раздавайте через авторизованный прокси. Кто других в свою квоту
пустит (по полосе/объёму) -- тот уже ССЗБ, ну и ловить проще
будет.
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Comm] 2 proxy
2004-09-25 4:41 ` Nizamov Shavkat
@ 2004-09-28 12:30 ` Antonio
0 siblings, 0 replies; 18+ messages in thread
From: Antonio @ 2004-09-28 12:30 UTC (permalink / raw)
To: community
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
On Sat, 25 Sep 2004, Nizamov Shavkat wrote:
> 3) вот неуверен насчет ttl пакетов - nat уменьшает его или нет ? если
> уменьшает - то опять таки Iptables в руки и режем пакеты с меньшим ttl.
Обычно уменьшает (прим. 1). Но можно попросить, чтобы не
уменьшал. ;-) Кстати, против "чайников" (см. прим. 1) с натом
помогает принудительное выставление TTL в единицу...
Вообще, IMHO, наиболее правильный метод -- административный,
потом -- предложенная ранее авторизация.
P.S. [offtopic] Сдаётся мне, что автор ветки -- либо
представитель так называемых "домашних сетей", предлагающих
дешёвый "unlimited" трафик и живущих главным образом за счёт
подключения клиентов, а не абонентки/оплаты трафика либо админ в
некоей конторе, где хитро#$пые юзера на халявку подворовывают
трафик.
- --
Best regards,
Tony. mailto:obidos@mail.ru
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.0 (GNU/Linux)
iD8DBQFBWVlf2gaLrWRbr5URAj2PAJ0YqoAUT8mJMefnBBuNYKIIEIR3SwCffopa
6b4deqxaCj2BhRVe0jdrN3M=
=X9Ht
-----END PGP SIGNATURE-----
^ permalink raw reply [flat|nested] 18+ messages in thread
end of thread, other threads:[~2004-09-28 12:30 UTC | newest]
Thread overview: 18+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2004-09-24 14:17 [Comm] 2 proxy dima
2004-09-24 14:24 ` Макс
2004-09-24 14:36 ` Vladimir Cherednichenko
2004-09-24 14:47 ` dima
2004-09-24 14:43 ` some_x
2004-09-24 14:54 ` Serge Polkovnikov
2004-09-24 15:07 ` some_x
2004-09-24 15:10 ` Serge Polkovnikov
2004-09-24 15:39 ` some_x
2004-09-24 18:11 ` Serge Polkovnikov
2004-09-24 17:02 ` Nizamov Shavkat
2004-09-25 3:24 ` Ivan Fedorov
2004-09-24 18:41 ` Pavel Shurubura
2004-09-25 3:23 ` Ivan Fedorov
2004-09-24 19:00 ` dm
2004-09-25 4:41 ` Nizamov Shavkat
2004-09-28 12:30 ` Antonio
2004-09-26 9:43 ` [Comm] " Michael Shigorin
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git