Ситуация: необходимо как то обнаружить использует ли человек прокси сервер. Т.е. может трафик приходящий от проски отличается по каким либо признакам от обычного? Причина: необходимо прекратить использование внешних прокси-серверов в сети.

• Обнаружить использование proxy,Andrey Mitrofanov, 12:01 , 19-Фев-08
  • Обнаружить использование proxy,mda1981, 12:27 , 19-Фев-08
    • Обнаружить использование proxy,Koba LTD, 14:59 , 19-Фев-08
      • Обнаружить использование proxy,universite, 15:32 , 19-Фев-08
        • Обнаружить использование proxy,mda1981, 07:08 , 20-Фев-08
          • Обнаружить использование proxy,Koba LTD, 08:40 , 21-Фев-08
• Обнаружить использование proxy,Andrey, 23:55 , 19-Фев-08
  • Обнаружить использование proxy,sergei_vasilyev, 12:15 , 20-Фев-08
    • Обнаружить использование proxy,Koba LTD, 08:56 , 21-Фев-08
      • Обнаружить использование proxy,mda1981, 10:47 , 12-Мрт-08

>Причина: необходимо прекратить использование внешних прокси-серверов в сети.

Не дать "ходить" пользователям на/через "открытые прокси" в интернете, в смысле?
Ну, прикрутить dnsbl какой-нибудь к сквиду... Видимо, это делается во внешнем
редиректорое. Первым "простым" шагом может быть настройка SSL_ports/Safe_ports
и "deny CONNECT" из дефолтного конфига.

>>Причина: необходимо прекратить использование внешних прокси-серверов в сети.
>
>Не дать "ходить" пользователям на/через "открытые прокси" в интернете, в смысле?
>Ну, прикрутить dnsbl какой-нибудь к сквиду... Видимо, это делается во внешнем
>редиректорое. Первым "простым" шагом может быть настройка SSL_ports/Safe_ports
>и "deny CONNECT" из дефолтного конфига.

Да, смысл правильно уловили. Сквид не используется, выходят пользователи натом, по этому и проблема с отлавливанием прокси.

>>>Причина: необходимо прекратить использование внешних прокси-серверов в сети.
>>
>>Не дать "ходить" пользователям на/через "открытые прокси" в интернете, в смысле?
>>Ну, прикрутить dnsbl какой-нибудь к сквиду... Видимо, это делается во внешнем
>>редиректорое. Первым "простым" шагом может быть настройка SSL_ports/Safe_ports
>>и "deny CONNECT" из дефолтного конфига.
>
>Да, смысл правильно уловили. Сквид не используется, выходят пользователи натом, по этому
>и проблема с отлавливанием прокси.

Теоретически только - только анализом трафика - если с одного и тогоже ip приходят несколько страниц с размым монтентом (принцепиально) то 90% это прокся. А больше ни как. Если админы прокси не совсем тупые :), если тупые - то в заголовке прокся оставит след. А так только как подсказали выше, отсеивать ip сходящие в список проксей, и переодически обновлять этот список.

Еще можно понизить MTU на внутреннем интерфейсе.

>Еще можно понизить MTU на внутреннем интерфейсе.

Про это можно поподробнее. Как повлияет понижение MTU, на обнаружение использования прокси?

>>Еще можно понизить MTU на внутреннем интерфейсе.
>
>Про это можно поподробнее. Как повлияет понижение MTU, на обнаружение использования прокси?
>

:) ни как, человек ошибся - это повлияет только на отсечения VPN соединений, на проксе ни как не скажеться

>Ситуация: необходимо как то обнаружить использует ли человек прокси сервер. Т.е. может
>трафик приходящий от проски отличается по каким либо признакам от обычного?
>Причина: необходимо прекратить использование внешних прокси-серверов в сети.

Мне кажется нужно анализировать трафик как делается в этой статье:
http://www.opennet.me/base/net/ng_ipfw_ng_bpf.txt.html

>Мне кажется нужно анализировать трафик как делается в этой статье:
>http://www.opennet.me/base/net/ng_ipfw_ng_bpf.txt.html

Идея интересная, но я не вижу способа как отличить запрос к прокси от обычного HTTP-запроса.

>>Мне кажется нужно анализировать трафик как делается в этой статье:
>>http://www.opennet.me/base/net/ng_ipfw_ng_bpf.txt.html
>
>Идея интересная, но я не вижу способа как отличить запрос к прокси
>от обычного HTTP-запроса.

нужно анализировать не каждый запрос, сумму запросов - если контент принципиально разный, а ip один и тот же то 90% что ip- прокся. Обычно большенство сайтов гонит в хедере свое доменное имя - как вариант выдирать его и дальше твоя фантация.
+ надо перекрыть все стандартные проксевые порты 8080,3128 и т.д.
+ надо у себя в иднамике подключать на отсечение постоянно обновляемый список халявных (и не халявных) прокси серверов.

такой подход позволит на 90% отсеч использование, а вообще не понятно зачем тебе это нужно и к какой социяльной ситуации это применяеться - если ты админ районной сетки - коректно ли это вообще делать, если админ предприятия - не прощели юзверям просто отключить возможность использования прокси или еще лудше врубить свою проксю, для http и т.д. и перекрыть нат для всего кроме pop3 smtp, и вопрос отпадет сам собой.

>[оверквотинг удален]
>+ надо у себя в иднамике подключать на отсечение постоянно обновляемый список
>халявных (и не халявных) прокси серверов.
>
>такой подход позволит на 90% отсеч использование, а вообще не понятно зачем
>тебе это нужно и к какой социяльной ситуации это применяеться -
>если ты админ районной сетки - коректно ли это вообще делать,
>если админ предприятия - не прощели юзверям просто отключить возможность использования
>прокси или еще лудше врубить свою проксю, для http и т.д.
>и перекрыть нат для всего кроме pop3 smtp, и вопрос отпадет
>сам собой.

"постоянно обновляемый список халявных (и не халявных) прокси серверов", где этот список можно взять?