Юзеры обходят прозрачный прокси. Как решить?

0

1

Здравствуйте.

Домашняя сетка. Инет шлюз: squid transparent + iptables
У всех юзеров реальные IP.
Трафик на прокси заруливается так:
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 8080 -j REDIRECT --to-port 3128
В инет ходят так:
iptables -A FORWARD -i eth1 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

Но стоит юзеру прописать в настройках IE внешний прокси, и ходит в инет через него, а это плохо.

Как заруливать ВЕСЬ веб трафик на 3128?

Ссылка

←	Что выбрать для виртуализации server 2003

[Nagios] Пассивная проверка

→

Как заруливать ВЕСЬ веб трафик на 3128?

фильтровать трафик модулями 7 уровня, типа IPP2P

uspen ★★★★★
(02.12.11 15:51:44 MSK)

Ответ на: комментарий от uspen 02.12.11 15:51:44 MSK

но тогда у юзеров прокси работать не будут. Разрешай только нужные порты, а с помощью ipp2p дропай http по нестандартным портам.

uspen ★★★★★
(02.12.11 15:53:40 MSK)

Ответ на: комментарий от uspen 02.12.11 15:53:40 MSK

Сделал так, для одного юзера в качестве эксперемента:

iptables -t nat -I PREROUTING 1 -s 92.2.19.138 -p tcp ! --dport 80 -j REDIRECT --to-port 3128

INDIGO ★
(02.12.11 17:44:26 MSK) автор топика

Ответ на: комментарий от INDIGO 02.12.11 17:44:26 MSK

хочешь я тебе расскажу, что будет с SMTP-POP3-IMAP?

spunky ★★
(02.12.11 20:01:46 MSK)

Ссылка

А зачем заставлять юзеров ходить через прозрачный прокси и в то же время давать возможность свободно ходить в инет по другим портам? Ну поднимут они себе впн и будут через него ходить, или тор, или ещё over9000 способов найдут.

roy ★★★★★
(02.12.11 20:51:14 MSK)