запрет php-proxy на хостинге

0

1

Добрый день. Столкнулся с проблемой - на хостинге некоторые юзеры любят ставить php-proxy и лазить через них в интернет, генерируя при этом ненужный лишний трафик. К сожалению, решить проблему кардинально, отключив curl/opensocket и прочие приблуды php нельзя, т.к. некоторые нормальные приложения тоже используют их. На ум пока приходит зацепка, что в случае проксей соединение инициализирует апач, но дальше мыслей, как запретить прокси - нету.

Ссылка

←	top и ps aux

глупый вопрос про iptables

→

Посчитайте траф и включите в счет. Делов то. А так - КАК и ЗАЧЕМ нормальные приложения пользуют курл и сокет? Если локально и междусобойчик - то тупо обрезать исходящие на 80й порт. Можно еще локальный ресолвер подкрутить вплоть до полной невменяемости.

Nefer ★
(05.09.11 15:39:09 MSK)

Ответ на: комментарий от Nefer 05.09.11 15:39:09 MSK

apache запущен от www-data, особо не посчитаешь, кто сколько накрутил трафика.

hwnd
(05.09.11 16:51:50 MSK) автор топика

Ответ на: комментарий от hwnd 05.09.11 16:51:50 MSK

Тем более закрыть 80-й порт тоже не выход - прокси на сокетах юзают произвольные порты

hwnd
(05.09.11 17:11:09 MSK) автор топика

Ссылка

сервер сам может ходить на 80 порт? нет!

=>запретить локалхосту инициировать исходящие соединения на 80 порт.

zup-rk27 ★★
(05.09.11 17:24:06 MSK)

Ответ на: комментарий от zup-rk27 05.09.11 17:24:06 MSK

ipfw add deny tcp from me to any dst-port 80

или какой у вас там фаерволл...

zup-rk27 ★★
(05.09.11 17:27:24 MSK)

Ссылка

Ответ на: комментарий от zup-rk27 05.09.11 17:24:06 MSK

[quote]прокси на сокетах юзают произвольные порты[/quote] Фаерволлом закрыть _все_ порты - не решение.

hwnd
(05.09.11 17:38:29 MSK) автор топика

Ответ на: комментарий от hwnd 05.09.11 17:38:29 MSK

Какие все? Только восьмидесятый!

Nefer ★
(05.09.11 17:40:53 MSK)

Ссылка

Ответ на: комментарий от hwnd 05.09.11 16:51:50 MSK

Особо посчитаешь. Да банально через логи. Добавить имя хоста в лог, а размер и так пишется. Или скрипты поправить, что бы при заведении хоста ему назначался персональный лог (если уже не сделано)

Nefer ★
(05.09.11 17:43:03 MSK)

Ссылка

Ответ на: комментарий от hwnd 05.09.11 17:38:29 MSK

прокси на сокетах юзают произвольные порты

локальные сокеты/порты лезут куда?

на 80й порт других хостов, разве нет?

Фаерволлом закрыть _все_ порты - не решение.

все и не нужно. надо только запретить исходящие соединения на 80 порт.

по моему это на 99% решит проблему, либо условие написано неправильно.

zup-rk27 ★★
(05.09.11 17:47:23 MSK)

закрыть исходящие коннекты на порт 80, открывать по требованию. Это нормальная практика.

Bers666 ★★★★★
(05.09.11 18:40:40 MSK)

Ссылка

Можно использовать allow_url_fopen = off для таких пользователей. Не?

Viper ★
(05.09.11 21:26:38 MSK)

Ссылка

если apache работает с itk то заведи на каждого юзера, в исходящей цепочке привязку к GID/UID и считай прямо из iptables
костыль конечно, но работать будет, также можеш запретить для определенных юзеров исходящий траф.

kam ★★
(06.09.11 03:55:43 MSK)