Как бороться с анонимными прокси

есть тема такая dansguardian.

Не понял, как это они прописывают альтернативные прокси? А зачем ты их туда пускаешь? Закрой всё, открой только то, что нужно. Весь WEB - через твою проксю и никак иначе.

а потом они поднимут ssh тунель через https на proxy

> Подскажите как можно еще бороться с пользователями сети которые у себя в настройках браузеров прописывают альтернативные источники прокси? блокировать IP прокся уже надоело, все равно пытаются обойти сервер статистики.

> P.S.: работает Squid.

рублем - только рублем - иначе никак

http://www.us.sorbs.net/

юзать агрегированную зону proxies.dnsbl.sorbs.net

Тему перенесите в л-о-р, там модераторы поделятся огромным опытом =)

Пытаться заставить всех ходить через squid, когда можно в обход него ходить напрямую --- глупое занятие.

Ограничить политиками смену прокси сервера? =)

ssh-туннель ограничивается довольно легко :)

99% "хацкоров" останавливает ограничение CONNECT.

P.S. Нет, у меня в одной фирме работал жёсткий человек, он для залезания на запрещённые ресурсы использовал жопорез со своего телефона, т.к. все остальные пути я ему прикрыл тогда :)

ssh-туннель ограничивается довольно легко :)
как если не секрет ?

есть у меня дома sshd на 443 порту и squid .

> ssh-туннель ограничивается довольно легко :)

> 99% "хацкоров" останавливает ограничение CONNECT.

Старперы какие-то. Когда космические корабли бороздят просторы космоса ^W^W^W^W есть искаропки решения для туннелирование поверх HTTP/DNS/etc (google http tunnel, он проще всего) и аjaxterm, установка которого заключается в распаковке в каталог на хостинг, кого-то останавливает ограничение CONNECT... удивительно...

А сквид прозрачный?

Если необходима авторизация и нельзя сделать прозрачный, то тупо зарежь всё http, что-бы выход был только через 3128.

Зачем в догонялки играть...

poka proxy poddergivaet https , mogno cherez nego goniat' vse chto ugodno .

sorry za translit ne moi windows xp , bez ruskogo. 

Пользователь либо уже идет через свой сквид либо обходит.

Если через сквид, то вроде каскад проксей нужно отдельно настраивать? Но и в любом случае, пополнять блеклист или использовать готовые.

Если обходит и имеет возможность снять в браузере настройку "использовать прокси", то гоняться вообще смысла нет.

>> ssh тунель через https на proxy

А как это работает? Где об этом можно почитать?

>А как это работает? Где об этом можно почитать?
например
http://proxytunnel.sourceforge.net/paper.php

каким образом?

> А сквид прозрачный?

прозрачный

> Если необходима авторизация и нельзя сделать прозрачный, то тупо >зарежь всё http, что-бы выход был только через 3128. > Зачем в догонялки играть...

возможно ли: необходимо чтобы в браузерх пользователей было всегда прописан локальный прокси фирмы т.е. ходить на http тока через него, если пользователь его отменит или пропишет иной анонимный, то инета (http) не должно быть. это сквид позволяет сделать?

Да же зарубив все, человек все равно сможет повесить на какойнить вылидный хостинг скрипт аннонимайзер и ходить через него.

Вот пример такого скрипта, которым моя девушка пользуется уже почти год и админы на это не реагируют, хотя каждую неделю зарубают все новые адреса.

http://text.dali.dj/?link=rlsmqmrnczzt

> прозрачный

> необходимо чтобы в браузерх пользователей было всегда прописан локальный прокси

А сквид точно прозрачный? Прозрачный - это когда в браузере не указывается ничего, а весь трафик идущий на шлюз на http порты заворачивается на 3128 (или по вкусу). Это может не подойти если нужна авторизация, но если раздача может ограничиваться не по логину/паролю а по адресу то прозрачный прокси - хорошее решение.

>возможно ли: необходимо чтобы в браузерх пользователей было всегда прописан локальный прокси фирмы т.е. ходить на http тока через него, если пользователь его отменит или пропишет иной анонимный, то инета (http) не должно быть. это сквид позволяет сделать?

Технически прямой доступ в инет должна иметь только машина со сквидом, прямой выход остальным должен останавливаться роутером. Тогда-то Вы и сможете реализовать сей вариант. Пока все компьютеры интрасети имеют прямой выход, любой свкид будет бесполезен.

Сквид не проксирует почту.

>А сквид точно прозрачный? Прозрачный - это когда в браузере не >указывается ничего, а весь трафик идущий на шлюз на http порты >заворачивается на 3128 (или по вкусу). Это может не подойти если нужна >авторизация, но если раздача может ограничиваться не по логину/паролю >а по адресу то прозрачный прокси - хорошее решение.

именно так и есть.

каким образом это можно сделать через сквид?

iptables

нужное перенаправляешь на 3128 или пропускаешь, ненужное режешь,

искать на тему "прозрачный squid"

Там противоречие

>> прозрачный

>> необходимо чтобы в браузерх пользователей было всегда прописан локальный прокси

Или под "прописан" понимается перенаправлен на шлюзе?

Или "так и есть" - это про авторизацию?

>>Или под "прописан" понимается перенаправлен на шлюзе?
тогда как раз нет проблем , я подключаюсь на myserver:443 который на прокси открыт , а там на 443 меня слушает sshd
собственно все , теперь например я могу пробросить порт со squidom с того-же хоста с sshd , а в браузере прописать прокси 127.0.0.1:3128