LINUX.ORG.RU
ФорумAdmin

защита squid-а


0

0

как мне защититить squid от програм типа Http-Port, HTTP-Tunnel...

тоесть как сделать чтоб юзера не могли обойти squid .....

Сеть у меню состоит из нереальних IP типа 192.168.Х.Х , шлюз на Linux и squid .....


Ответ на: комментарий от fagot

Да, точно, как-то я так невнимательно прочитал...

Ну тогда, да, ты прав.. :-) метод CONNECT плюс ограничение по портам плюс какие-либо методы аутентификации пользователей на проксе...

MiracleMan ★★★★★
()

Просветите пожалуйста :)

Что это за программы такие и как с помощью них можно обойти squid? Я раньше по своей наивности думал, что если программа идет через squid то это squid решает пускать или нет в Интернет а не программа.

vikeng
()

vova07, последнее сообщение перепиши на русском.

fagot ★★★★★
()
Ответ на: комментарий от fagot

Да но тогда, для сохранение контроля над трафиком, нужны другие протоколы (log), помимо squid. Я поступил проще, закрыл доступ к squid снаружи вообще (так-как от connect атак защититься у меня не получилось). А со своими внутри сети разобраться будет не трудно, так-как эти вещи очень ярко засвечиваются в логах squid.

merlin-shadow
()
Ответ на: комментарий от merlin-shadow

>а но тогда, для сохранение контроля над трафиком, нужны другие протоколы (log), помимо squid

Естественно. Просто либо это, либо connect - нет счастья в жизни :)

fagot ★★★★★
()
Ответ на: комментарий от fagot

Верно ли я понял: как вариант можно закрить CONNECT (тогда вопрос: именно его програмы и используют, и без него ничего не смогут сделать ?????)...

" так-как эти вещи очень ярко засвечиваются в логах squid" какие именно вещи ????? обясните .....

vova07
() автор топика
Ответ на: комментарий от vova07

Лучше всего, в твоем случае, почитать доку на сквид и эти программы :)

squid.opennet.ru рулит, а про http-port и т.д. есть в гугле

fagot ★★★★★
()
Ответ на: комментарий от fagot

даже если я и найду, то не буду уверен как сделать и будет ли так хорошо ...... А если Ви знаете то могли б и подсказать ... для того и создан форум (я так думаю)....

vova07
() автор топика
Ответ на: комментарий от vova07

>даже если я и найду, то не буду уверен как сделать и будет ли так хорошо

это только сначала, а вот после активного чтения документации - как рукой снимет... :) squid.opennet.ru никто не отменял :)

>Верно ли я понял: как вариант можно закрить CONNECT

ага, более-менее верно :) Почему у тебя вместо Ы, буквы И везде?

fagot ★★★★★
()
Ответ на: комментарий от fagot

Да закрываешь CONNECT с помощью iptables, т.е. не сам CONNECT, все входящие с наружи пакеты на порт (например 3128) и к твой проксе никто снаружи не законектится. И все будет работать и ICQ и SSL и FTP и HTTP. А если кто-то изнутри попробует хакнуть, то cat access.log ;-) и разборки. И конечно-же без доки смысл всего не поймешь. Единственное исключение это CONNECT, по документации его можно ограничить через acl, а по жизни не получается.

merlin-shadow
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.