URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 78
[ Назад ]

Исходное сообщение
"не могу больше обманывать юзеров!!! помогите!!"
Отправлено Tanya , 10-Апр-02 16:08

У меня сетка под вин2000, маршрутизатор под линух(там стоит прокси-Squid)
если в Internet Explorere порписать "use proxy" и указать соответствующий порт 3128 на вкладке "connections" то все нормально -юзеры авторизуются (логин+пароль и все хорошо считается кто сколько накачал sarg'ом)
но если отключить опцию использования прокси.. то просто они могут выходить в инет напрямую.. без учета и контроля!!
можно как нибудь так сделать чтобы НЕЛЬЗЯ было по протоколу http подключаться минуя прокси?
т.е просто запрещать все я не могу
потому что мне еще как-то с почтой работать надо..
что делать??
подскажите пожалуйста!!
просто я боюсь что какой нить юзер возьмет и прочухает что к чему.. если уже..

Содержание

RE: не могу больше обманывать юзеров!!! помогите!!,alx, 16:17 , 10-Апр-02
- RE: не могу больше обманывать юзеров!!! помогите!!,Tanya, 16:27 , 10-Апр-02
  - RE: не могу больше обманывать юзеров!!! помогите!!,MF_FLIP, 13:10 , 11-Апр-02
    - RE: не могу больше обманывать юзеров!!! помогите!!,smooth, 12:14 , 12-Апр-02
      - RE: не могу больше обманывать юзеров!!! помогите!!,MF_FLIP, 13:09 , 12-Апр-02
        
        RE: не могу больше обманывать юзеров!!! помогите!!,Sergey Vlasov, 20:12 , 12-Апр-02
RE: не могу больше обманывать юзеров!!! помогите!!,chroot, 02:25 , 18-Апр-02
RE: не могу больше обманывать юзеров!!! помогите!!,Samsonov, 16:26 , 04-Май-02
- RE: не могу больше обманывать юзеров!!! помогите!!,kenzzo, 09:21 , 06-Май-02
  - RE: не могу больше обманывать юзеров!!! помогите!!,Firewalker, 17:00 , 20-Май-02
RE: не могу больше обманывать юзеров!!! помогите!!,dawnshade, 16:42 , 15-Июн-02

Сообщения в этом обсуждении

"RE: не могу больше обманывать юзеров!!! помогите!!"
Отправлено alx , 10-Апр-02 16:17

>У меня сетка под вин2000, маршрутизатор
>под линух(там стоит прокси-Squid)
> если в Internet Explorere порписать
>"use proxy" и указать соответствующий
>порт 3128 на вкладке "connections"
>то все нормально -юзеры авторизуются
>(логин+пароль и все хорошо считается
>кто сколько накачал sarg'ом)
>но если отключить опцию использования прокси..
>то просто они могут выходить
>в инет напрямую.. без учета
>и контроля!!
>можно как нибудь так сделать чтобы
>НЕЛЬЗЯ было по протоколу http
>подключаться минуя прокси?
>
ipchains -P forward DENY
>т.е просто запрещать все я не
>могу
>потому что мне еще как-то с
>почтой работать надо..
>
>что делать??
>подскажите пожалуйста!!
>просто я боюсь что какой нить
>юзер возьмет и прочухает что
>к чему.. если уже..

"RE: не могу больше обманывать юзеров!!! помогите!!"
Отправлено Tanya , 10-Апр-02 16:27

>>У меня сетка под вин2000, маршрутизатор
>>под линух(там стоит прокси-Squid)
>> если в Internet Explorere порписать
>>"use proxy" и указать соответствующий
>>порт 3128 на вкладке "connections"
>>то все нормально -юзеры авторизуются
>>(логин+пароль и все хорошо считается
>>кто сколько накачал sarg'ом)
>>но если отключить опцию использования прокси..
>>то просто они могут выходить
>>в инет напрямую.. без учета
>>и контроля!!
>>можно как нибудь так сделать чтобы
>>НЕЛЬЗЯ было по протоколу http
>>подключаться минуя прокси?
>>
>ipchains -P forward DENY
>>т.е просто запрещать все я не
>>могу
>>потому что мне еще как-то с
>>почтой работать надо..
>>
>>что делать??
>>подскажите пожалуйста!!
>>просто я боюсь что какой нить
>>юзер возьмет и прочухает что
>>к чему.. если уже..

забыла сказать у меня ipfwadm а не ipchains
и почту все равно надо оставить

"RE: не могу больше обманывать юзеров!!! помогите!!"
Отправлено MF_FLIP , 11-Апр-02 13:10

squid.opennet.ru
см. transparent proxy

"RE: не могу больше обманывать юзеров!!! помогите!!"
Отправлено smooth , 12-Апр-02 12:14

>squid.opennet.ru
>
>см. transparent proxy

всё достаточно просто в этом случае - надо просто резать файрволом 80 порт - http трафик
и 443 - https на всёкий пожарный
и всё номано по инету ходить не смогут - а почта работает так как работает по 25 порту - smtp
и 110 - pop3 или что у вас там
а на самом деле посаветовал бы закрыть всё что не нужно ввобще для секьюрности - нат обязательно поставить и внимательно за серваком следить

"RE: не могу больше обманывать юзеров!!! помогите!!"
Отправлено MF_FLIP , 12-Апр-02 13:09

>>squid.opennet.ru
>>
>>см. transparent proxy
>
>
>всё достаточно просто в этом случае
>- надо просто резать файрволом
>80 порт - http трафик
>
>и 443 - https на всёкий
>пожарный
ну если не в лом бегать по юзверям и прокси прописывать....
IMHO луше не резать, а заворачивать весь http(s) трафик файрволом на проксю.
Посмотрите, жуже не будет :) squid.opennet.ru

"RE: не могу больше обманывать юзеров!!! помогите!!"
Отправлено Sergey Vlasov , 12-Апр-02 20:12

В оригинальном вопросе было сказано, что используется авторизация - в этом случае transparent proxy не работает в принципе. Так что только резать. (Причем лучше зарезать все, а потом открыть, что попросят - например, порт 25 для отправки почты, 110 для приема по pop3 и т.п.; ICQ может работать через Squid по HTTPS).

"RE: не могу больше обманывать юзеров!!! помогите!!"
Отправлено chroot , 18-Апр-02 02:25

>У меня сетка под вин2000, маршрутизатор
>под линух(там стоит прокси-Squid)
> если в Internet Explorere порписать
>"use proxy" и указать соответствующий
>порт 3128 на вкладке "connections"
>то все нормально -юзеры авторизуются
>(логин+пароль и все хорошо считается
>кто сколько накачал sarg'ом)
>но если отключить опцию использования прокси..
>то просто они могут выходить
>в инет напрямую.. без учета
>и контроля!!
>можно как нибудь так сделать чтобы
>НЕЛЬЗЯ было по протоколу http
>подключаться минуя прокси?
---------------------------------------------
сделай прозрачный прокси смотри тут на этом сайте про это много написано смотри ipfadm ipchain iptables
>
>т.е просто запрещать все я не
>могу
>потому что мне еще как-то с
>почтой работать надо..
>
>что делать??
>подскажите пожалуйста!!
>просто я боюсь что какой нить
>юзер возьмет и прочухает что
>к чему.. если уже..

"RE: не могу больше обманывать юзеров!!! помогите!!"
Отправлено Samsonov , 04-Май-02 16:26

Согласен с вариантами фильтрации траффика, транспарент прокси.
В плане дополнения - в сети win2k (домен) неограниченные возможности по принудительной установке настроек (в т.ч. IE) и усечению прав пользователей. Все групповыми политиками.

"RE: не могу больше обманывать юзеров!!! помогите!!"
Отправлено kenzzo , 06-Май-02 09:21

всем большое спасиба
я закрыла ipfwadm 80, 8080 итд
вроде работает, открыла почтовые, default policy - deny и т.д.
но!!
Если я делаю сначала закрыть все а потом открыть то что надо то не работает подход к ДНС, то есть получается что порт и протокол которые используются для выхода на днс
поэтому приходится все открывать и закрывать все очевидно
а это опасно
что делать-то?

"RE: не могу больше обманывать юзеров!!! помогите!!"
Отправлено Firewalker , 20-Май-02 17:00

так зделай allow для порта 53 !!

"RE: не могу больше обманывать юзеров!!! помогите!!"
Отправлено dawnshade , 15-Июн-02 16:42

>У меня сетка под вин2000, маршрутизатор под линух(там стоит прокси-Squid)
> если в Internet Explorere порписать "use proxy" и указать соответствующий порт
>3128 на вкладке "connections" то все нормально -юзеры авторизуются (логин+пароль и
>все хорошо считается кто сколько накачал sarg'ом)
>но если отключить опцию использования прокси.. то просто они могут выходить в
>инет напрямую.. без учета и контроля!!
>можно как нибудь так сделать чтобы НЕЛЬЗЯ было по протоколу http подключаться
>минуя прокси?
>
>т.е просто запрещать все я не могу
>потому что мне еще как-то с почтой работать надо..
>
>что делать??
>подскажите пожалуйста!!
>просто я боюсь что какой нить юзер возьмет и прочухает что к
>чему.. если уже..
Действительно прозрачный прокси не прокатит, т.к. не будет посылаться autentification required.
Как глупый и простой вариант - каким-нибудь "тюнером, твикером" для виндов на клиентах спрячь вкладку "connections", чтоб не смогли снять галку с прокси сервера.