LINUX.ORG.RU
ФорумAdmin

Дырки в прозрачном проксе


0

0

Если на шлюзе локалки стоит прозрачный прокси и ним заблокировать определенный сайт а

юзверь у себя в браузере установит в настройках какуюто другую бесплатную проксю из

инета то он без проблем откроет этот сайт, поскольку во всех примерах что я перечитал прозрачное проксирование базируется на переадресации пакетов идущих на 80 порт tcp проксе. Как сделать чтобы юзера не могли обходить блокировку локальной прокси? Можно ли написать правило которое бы блокировало все пакеты которые идут от IE, Opera, Firefox? На каких портах они сидят? Есть ли какие-то другие варианты решения этой проблеммы?

anonymous

iptables -A INPUT -p tcp --dport http -J REJECT
Если у тебя прокси слушает 80 порт, то тогда в правило надо добить "-d ! server_ip"

SlavikSS ★★
()

>Как сделать чтобы юзера не могли обходить блокировку локальной прокси?

Никак, это невозможно.

>Можно ли написать правило которое бы блокировало все пакеты которые идут от IE, Opera, Firefox?

нет.

>IE, Opera, Firefox? На каких портах они сидят?

Мощно задвинул :)) Но если бы эти приложения были серверами, то скорее всего,сидели бы на 80 порту :)

>Есть ли какие-то другие варианты решения этой проблеммы?

На бумаге запретить

fagot ★★★★★
()

используй просто squidguard, у них довольно полный список халявных проксей. и не заморачивайся для решения этой проблемы с layer7, это из пушки по воробьям.

anonymous
()
Ответ на: комментарий от fagot

Я че то не понимаю ? Что мешает на прокси/фаерволе пропускать пакеты только от прокси сервера, а от юзеров дропать?

roy ★★★★★
()
Ответ на: комментарий от roy

Это не очень удобно, если надо предоставить доступ не только по http.

Кроме того, если "левый" proxy работает по 80 порту, отследить обращение к нему сложно. Ну, пошел пользователь на какой-то сайт, как знать, зачем?

fagot ★★★★★
()

Загружать списки внешних прокси слать в реджект - другого способа не знаю

OpenStorm ★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.