URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 78
[ Назад ]

Исходное сообщение
"не могу больше обманывать юзеров!!! помогите!!"

Отправлено Tanya , 10-Апр-02 16:08 
У меня сетка под вин2000, маршрутизатор под линух(там стоит прокси-Squid)
если в Internet Explorere порписать "use proxy" и указать соответствующий порт 3128 на вкладке "connections" то все нормально -юзеры авторизуются (логин+пароль и все хорошо считается кто сколько накачал sarg'ом)
но если отключить опцию использования прокси.. то просто они могут выходить в инет напрямую.. без учета и контроля!!
можно как нибудь так сделать чтобы НЕЛЬЗЯ было по протоколу http подключаться минуя прокси?

т.е просто запрещать все я не могу
потому что мне еще как-то с почтой работать надо..

что делать??
подскажите пожалуйста!!
просто я боюсь что какой нить юзер возьмет и прочухает что к чему.. если уже..


Содержание

Сообщения в этом обсуждении
"RE: не могу больше обманывать юзеров!!! помогите!!"
Отправлено alx , 10-Апр-02 16:17 
>У меня сетка под вин2000, маршрутизатор
>под линух(там стоит прокси-Squid)
> если в Internet Explorere порписать
>"use proxy" и указать соответствующий
>порт 3128 на вкладке "connections"
>то все нормально -юзеры авторизуются
>(логин+пароль и все хорошо считается
>кто сколько накачал sarg'ом)
>но если отключить опцию использования прокси..
>то просто они могут выходить
>в инет напрямую.. без учета
>и контроля!!
>можно как нибудь так сделать чтобы
>НЕЛЬЗЯ было по протоколу http
>подключаться минуя прокси?
>
ipchains -P forward DENY
>т.е просто запрещать все я не
>могу
>потому что мне еще как-то с
>почтой работать надо..
>
>что делать??
>подскажите пожалуйста!!
>просто я боюсь что какой нить
>юзер возьмет и прочухает что
>к чему.. если уже..



"RE: не могу больше обманывать юзеров!!! помогите!!"
Отправлено Tanya , 10-Апр-02 16:27 
>>У меня сетка под вин2000, маршрутизатор
>>под линух(там стоит прокси-Squid)
>> если в Internet Explorere порписать
>>"use proxy" и указать соответствующий
>>порт 3128 на вкладке "connections"
>>то все нормально -юзеры авторизуются
>>(логин+пароль и все хорошо считается
>>кто сколько накачал sarg'ом)
>>но если отключить опцию использования прокси..
>>то просто они могут выходить
>>в инет напрямую.. без учета
>>и контроля!!
>>можно как нибудь так сделать чтобы
>>НЕЛЬЗЯ было по протоколу http
>>подключаться минуя прокси?
>>
>ipchains -P forward DENY
>>т.е просто запрещать все я не
>>могу
>>потому что мне еще как-то с
>>почтой работать надо..
>>
>>что делать??
>>подскажите пожалуйста!!
>>просто я боюсь что какой нить
>>юзер возьмет и прочухает что
>>к чему.. если уже..


забыла сказать у меня ipfwadm а не ipchains
и почту все равно надо оставить


"RE: не могу больше обманывать юзеров!!! помогите!!"
Отправлено MF_FLIP , 11-Апр-02 13:10 
squid.opennet.ru

см. transparent proxy


"RE: не могу больше обманывать юзеров!!! помогите!!"
Отправлено smooth , 12-Апр-02 12:14 
>squid.opennet.ru
>
>см. transparent proxy


всё достаточно просто в этом случае - надо просто резать файрволом 80 порт - http трафик
и 443 - https на всёкий пожарный
и всё номано по инету ходить не смогут - а почта работает так как работает по 25 порту - smtp
и 110 - pop3 или что у вас там
а на самом деле посаветовал бы закрыть всё что не нужно ввобще для секьюрности - нат обязательно поставить и внимательно за серваком следить


"RE: не могу больше обманывать юзеров!!! помогите!!"
Отправлено MF_FLIP , 12-Апр-02 13:09 
>>squid.opennet.ru
>>
>>см. transparent proxy
>
>
>всё достаточно просто в этом случае
>- надо просто резать файрволом
>80 порт - http трафик
>
>и 443 - https на всёкий
>пожарный

ну если не в лом бегать по юзверям и прокси прописывать....
IMHO луше не резать, а заворачивать весь http(s) трафик файрволом на проксю.

Посмотрите, жуже не будет :) squid.opennet.ru


"RE: не могу больше обманывать юзеров!!! помогите!!"
Отправлено Sergey Vlasov , 12-Апр-02 20:12 
В оригинальном вопросе было сказано, что используется авторизация - в этом случае transparent proxy не работает в принципе. Так что только резать. (Причем лучше зарезать все, а потом открыть, что попросят - например, порт 25 для отправки почты, 110 для приема по pop3 и т.п.; ICQ может работать через Squid по HTTPS).

"RE: не могу больше обманывать юзеров!!! помогите!!"
Отправлено chroot , 18-Апр-02 02:25 
>У меня сетка под вин2000, маршрутизатор
>под линух(там стоит прокси-Squid)
> если в Internet Explorere порписать
>"use proxy" и указать соответствующий
>порт 3128 на вкладке "connections"
>то все нормально -юзеры авторизуются
>(логин+пароль и все хорошо считается
>кто сколько накачал sarg'ом)
>но если отключить опцию использования прокси..
>то просто они могут выходить
>в инет напрямую.. без учета
>и контроля!!
>можно как нибудь так сделать чтобы
>НЕЛЬЗЯ было по протоколу http
>подключаться минуя прокси?
---------------------------------------------
сделай прозрачный прокси смотри тут на этом сайте про это много написано смотри ipfadm ipchain iptables
>
>т.е просто запрещать все я не
>могу
>потому что мне еще как-то с
>почтой работать надо..
>
>что делать??
>подскажите пожалуйста!!
>просто я боюсь что какой нить
>юзер возьмет и прочухает что
>к чему.. если уже..



"RE: не могу больше обманывать юзеров!!! помогите!!"
Отправлено Samsonov , 04-Май-02 16:26 
Согласен с вариантами фильтрации траффика, транспарент прокси.

В плане дополнения - в сети win2k (домен) неограниченные возможности по принудительной установке настроек (в т.ч. IE) и усечению прав пользователей. Все групповыми политиками.


"RE: не могу больше обманывать юзеров!!! помогите!!"
Отправлено kenzzo , 06-Май-02 09:21 
всем большое спасиба
я закрыла ipfwadm 80, 8080 итд
вроде работает, открыла почтовые, default policy - deny и т.д.

но!!

Если я делаю сначала закрыть все а потом открыть то что надо то не работает подход к ДНС, то есть получается что порт и протокол которые используются для выхода на днс
поэтому приходится все открывать и закрывать все очевидно
а это опасно
что делать-то?



"RE: не могу больше обманывать юзеров!!! помогите!!"
Отправлено Firewalker , 20-Май-02 17:00 
так зделай allow для порта 53 !!


"RE: не могу больше обманывать юзеров!!! помогите!!"
Отправлено dawnshade , 15-Июн-02 16:42 
>У меня сетка под вин2000, маршрутизатор под линух(там стоит прокси-Squid)
> если в Internet Explorere порписать "use proxy" и указать соответствующий порт
>3128 на вкладке "connections" то все нормально -юзеры авторизуются (логин+пароль и
>все хорошо считается кто сколько накачал sarg'ом)
>но если отключить опцию использования прокси.. то просто они могут выходить в
>инет напрямую.. без учета и контроля!!
>можно как нибудь так сделать чтобы НЕЛЬЗЯ было по протоколу http подключаться
>минуя прокси?
>
>т.е просто запрещать все я не могу
>потому что мне еще как-то с почтой работать надо..
>
>что делать??
>подскажите пожалуйста!!
>просто я боюсь что какой нить юзер возьмет и прочухает что к
>чему.. если уже..

Действительно прозрачный прокси не прокатит, т.к. не будет посылаться autentification required.
Как глупый и простой вариант - каким-нибудь "тюнером, твикером" для виндов на клиентах спрячь вкладку "connections", чтоб не смогли снять галку с прокси сервера.