URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 3867
[ Назад ]
Исходное сообщение
"Как скрыть внутренние адреса с помощью Squid (или  iptables) ?"
Отправлено gagus , 13-Фев-06 07:20 
Схема: внутренняя сетка стоит за сервером Linux RH Enterprice ES3
нужно сделать так чтобы из вне нельзя было узнать врутренние адреса.

Зачем: наша организация купила один сервис в инете, там доступ по IP, так вот там видят нашу внутреннюю адресацию и скрипт проверки автоматом отсекает обращения от нас.

Как определил проблему: есть в инете такой ресурс http://www.all-nettools.com/toolbox там можно проверить "как ты смотришся из вне". Прокси тест. так вот там показывается наша внутренняя адресация. При этом соседняя организация имеет такой же доступ у них при том же тесте внутренняя адресация не видна и доступ у них проходит нормально !

Вопрос: как решить проблему ?

Содержание
Сообщения в этом обсуждении
"Как скрыть внутренние адреса с помощью Squid (или  iptables)..."
Отправлено SeRG , 13-Фев-06 07:59 
>Схема: внутренняя сетка стоит за сервером Linux RH Enterprice ES3
>нужно сделать так чтобы из вне нельзя было узнать врутренние адреса.
>
>Зачем: наша организация купила один сервис в инете, там доступ по IP,
>так вот там видят нашу внутреннюю адресацию и скрипт проверки автоматом
>отсекает обращения от нас.
>
>Как определил проблему: есть в инете такой ресурс http://www.all-nettools.com/toolbox там можно проверить
>"как ты смотришся из вне". Прокси тест. так вот там показывается
>наша внутренняя адресация. При этом соседняя организация имеет такой же доступ
>у них при том же тесте внутренняя адресация не видна и
>доступ у них проходит нормально !
>
>Вопрос: как решить проблему ?

На серваке настроить firewall с маскарадингом. Доков на эту тему много.

"Как скрыть внутренние адреса с помощью Squid (или  iptables)..."
Отправлено gagus , 13-Фев-06 10:31 
>На серваке настроить firewall с маскарадингом. Доков на эту тему много.

именно маскарадинг ? потому как все внутренние адреса у меня натируются в один внешний ! и тем не менее squid как то добовляет в заголовок (не на сетевом уровне) адрес внутреннего клиента, который потом можно узнать разбором пакета.

"Как скрыть внутренние адреса с помощью Squid (или  iptables)..."
Отправлено Андрей Слободяник , 13-Фев-06 11:11 
>>На серваке настроить firewall с маскарадингом. Доков на эту тему много.
>
>именно маскарадинг ? потому как все внутренние адреса у меня натируются в
>один внешний ! и тем не менее squid как то добовляет
>в заголовок (не на сетевом уровне) адрес внутреннего клиента, который потом
>можно узнать разбором пакета.

forwarded_for off

"Как скрыть внутренние адреса с помощью Squid (или  iptables)..."
Отправлено gagus , 14-Фев-06 06:24 
>forwarded_for off

спасибо ! адрес не определяется !

Но всё равно остаётся значение unknown, можно ли сделать чтобы squid просто не делал этого поля ?

"Как скрыть внутренние адреса с помощью Squid (или  iptables)..."
Отправлено forfreeuse , 14-Фев-06 09:02 
                header_access Allow allow all
                header_access Authorization allow all
                header_access WWW-Authenticate allow all
                header_access Cache-Control allow all
                header_access Content-Encoding allow all
                header_access Content-Length allow all
                header_access Content-Type allow all
                header_access Date allow all
                header_access Expires allow all
                header_access Host allow all
                header_access If-Modified-Since allow all
                header_access Last-Modified allow all
                header_access Location allow all
                header_access Pragma allow all
                header_access Accept allow all
                header_access Accept-Charset allow all
                header_access Accept-Encoding allow all
                header_access Accept-Language allow all
                header_access Content-Language allow all
                header_access Mime-Version allow all
                header_access Retry-After allow all
                header_access Title allow all
                header_access Connection allow all
                header_access Proxy-Connection allow all
                header_access Referer allow all
                header_access User-Agent allow all
                header_access Cookie allow all
                header_access Set-Cookie allow all

                header_access All deny all

Для проверки, размести где нит cgi-шник и зайди на него через прокси:
#!/usr/bin/perl -w
use CGI qw/:standard/;

print header,"<html><body><p>";

foreach $var (sort(keys(%ENV))) {
    $val = $ENV{$var};
        $val =~ s|\n|\\n|g;
            $val =~ s|"|\\"|g;
                print "${var}=\"${val}\"<br>\n";
                }

print "</p></body></html>";

--
Slava
http://www.rejik.ru

"Как скрыть внутренние адреса с помощью Squid (или  iptables)..."
Отправлено niyaza , 18-Апр-06 14:16 
А можно сделать так чтобы и внешний АйПи шник не определялся, а то программами типа Миранда мой внешний АйПи просвечивается если сидеть в Аське?
"Как скрыть внутренние адреса с помощью Squid (или  iptables)..."
Отправлено Андрей Слободяник , 19-Апр-06 11:53 
>А можно сделать так чтобы и внешний АйПи шник не определялся,
Чтобы скрыть внешний айпишник - использовать анонимные прокси.

>то программами типа Миранда мой внешний АйПи просвечивается если сидеть в
>Аське?
Использовать такой icq-клиент, который не показывает внутренний адрес.

А в чём вообще вопрос? Ну, увидят твой адрес - 192.168.2.8 - и какой секрет от этого раскроется?

С стационарных и мобильных телефонов наверное не звонишь, бегаешь к автомату на углу - так ведь всё-равно найдут.

"Как скрыть внутренние адреса с помощью Squid (или  iptables)..."
Отправлено gagus , 30-Сен-06 14:52 
header_access X-Forwarded-For deny all
header_access Via deny all