URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 2821
[ Назад ]

Исходное сообщение
"Закрыть доступ к непрозрачному squid! ТОЛЬКО ПРОЗНАЧНЫЙ ЧТОБЫ РАБОТАЛ!"

Отправлено Amig0 , 10-Янв-05 19:13 
Вообще вопрос сабжевый! Ситуация следующая: есть VPN сервер, если делаю прозрачный сквид, то по сессиям клиентов трафик считается, Но если кто-то просечет что работает прозрачное прокси и поставит его железно в броузере - то траф считаться не будет!
Нужно закрыть доступ к прямому прокси!
Спасибо!
Попутно вопрос - Невозможно ходить на некоторые сайты через сквид - на прямую работает!
echo 0 > /proc/sys/net/ipv4/tcp_ecn
это само собой уже стоит!
connection timeout - не причем!
www.xuligan.ru
не работает ): может не у меня одного!
попробуйте пожалуйста!

Содержание

Сообщения в этом обсуждении
"Закрыть доступ к непрозрачному squid! ТОЛЬКО ПРОЗНАЧНЫЙ ЧТОБ..."
Отправлено tin , 10-Янв-05 20:50 
А через ACL запретить ходить не с VPN-IP почему нельзя?
То бишь

acl clients src VPN_NETWORK
http_access allow clients
http_access deny all

где VPN_NETWORK - IP-адреса VPN сессий клиентов



"Закрыть доступ к непрозрачному squid! ТОЛЬКО ПРОЗНАЧНЫЙ ЧТОБ..."
Отправлено amig0 , 11-Янв-05 11:40 
>А через ACL запретить ходить не с VPN-IP почему нельзя?
>То бишь
>
>acl clients src VPN_NETWORK
>http_access allow clients
>http_access deny all
>
>где VPN_NETWORK - IP-адреса VPN сессий клиентов
>

Да это и ежу понятно! я не об этом, это и так сделано.
Вопрос то вдругом. Мне нужно, чтобы эти самые клиенты(IP или сессии) как угодно их называйте, нужно чтобы они НЕ МОГЛИ в своих бровзерах прописать мой сквид! Если они его пропишут - у меня трафик по их сессиям не будет считаться!



"Закрыть доступ к непрозрачному squid! ТОЛЬКО ПРОЗНАЧНЫЙ ЧТОБ..."
Отправлено tin , 11-Янв-05 11:54 
>>А через ACL запретить ходить не с VPN-IP почему нельзя?
>>То бишь
>>
>>acl clients src VPN_NETWORK
>>http_access allow clients
>>http_access deny all
>>
>>где VPN_NETWORK - IP-адреса VPN сессий клиентов
>>
>
>Да это и ежу понятно! я не об этом, это и так
>сделано.
>Вопрос то вдругом. Мне нужно, чтобы эти самые клиенты(IP или сессии) как
>угодно их называйте, нужно чтобы они НЕ МОГЛИ в своих бровзерах
>прописать мой сквид! Если они его пропишут - у меня трафик
>по их сессиям не будет считаться!

А что будет с того, что пропишут? Если у них VPN включен - то идти они будут с VPN-овских IP и по VPN-туннелям, как они обычноо ходят в инет. Сквид их пропустит. Если у них не будет VPN-соединения, то соответственно до сквиды они дойдут и все. Поскольку идти они будут уже не с тех IP адресов, а с адресов опорной сети. Соответственно никто их считать не будет, и сквид им ничего не отдаст.

А вообще-то это к сквиде отношения не имеет никакого. Пожалуйте в мыло! :)


"Закрыть доступ к непрозрачному squid! ТОЛЬКО ПРОЗНАЧНЫЙ ЧТОБ..."
Отправлено amig0 , 11-Янв-05 15:56 
>>>А через ACL запретить ходить не с VPN-IP почему нельзя?
>>>То бишь
>>>
>>>acl clients src VPN_NETWORK
>>>http_access allow clients
>>>http_access deny all
>>>
>>>где VPN_NETWORK - IP-адреса VPN сессий клиентов
>>>
>>
>>Да это и ежу понятно! я не об этом, это и так
>>сделано.
>>Вопрос то вдругом. Мне нужно, чтобы эти самые клиенты(IP или сессии) как
>>угодно их называйте, нужно чтобы они НЕ МОГЛИ в своих бровзерах
>>прописать мой сквид! Если они его пропишут - у меня трафик
>>по их сессиям не будет считаться!
>
>А что будет с того, что пропишут? Если у них VPN включен
>- то идти они будут с VPN-овских IP и по VPN-туннелям,
>как они обычноо ходят в инет. Сквид их пропустит. Если у
>них не будет VPN-соединения, то соответственно до сквиды они дойдут и
>все. Поскольку идти они будут уже не с тех IP адресов,
>а с адресов опорной сети. Соответственно никто их считать не будет,
>и сквид им ничего не отдаст.
>
>А вообще-то это к сквиде отношения не имеет никакого. Пожалуйте в мыло!
>:)


Спасибо за предложение! Но я тут объясню! Мыслишь правильно - но у меня на РРР стоит патч ,который с локальных АЙПИ траф радиусу не передает!
Думаем дальше (:


"Закрыть доступ к непрозрачному squid! ТОЛЬКО ПРОЗНАЧНЫЙ ЧТОБ..."
Отправлено zabudkin , 13-Янв-05 16:03 
Через iptables запретить доступ к порту 3128 где висит squid (например 192.168.0.1):

iptables -A FORWARD -p tcp -dst 192.168.0.1 --dport 3128 -j REJECT

PS: примерно такая команда, не помню точно.


"Закрыть доступ к непрозрачному squid! ТОЛЬКО ПРОЗНАЧНЫЙ ЧТОБ..."
Отправлено spectr , 18-Янв-05 14:18 
>Вообще вопрос сабжевый! Ситуация следующая: есть VPN сервер, если делаю прозрачный сквид,
>то по сессиям клиентов трафик считается, Но если кто-то просечет что
>работает прозрачное прокси и поставит его железно в броузере - то
>траф считаться не будет!
>Нужно закрыть доступ к прямому прокси!
>Спасибо!
>Попутно вопрос - Невозможно ходить на некоторые сайты через сквид - на
>прямую работает!
>echo 0 > /proc/sys/net/ipv4/tcp_ecn
>это само собой уже стоит!
>connection timeout - не причем!
>www.xuligan.ru
>не работает ): может не у меня одного!
>попробуйте пожалуйста!


Глобально другое предложение пишеш в squid.conf http_port 127.0.0.0.1:3128
Сечёшь не просто http_port 3128 а http_port 127.0.0.0.1:3128
тогда сквид бужет слушать тока локального хоста.