Здравствуйте!
DNSBL довольно широко используется при работе с почтой. Возникает естественный вопрос - существует ли похожий механизм для Squid для автоматического определения нежелательных open(и не очень open) proxy?
> Здравствуйте!
> DNSBL довольно широко используется при работе с почтой. Возникает естественный вопрос
>- существует ли похожий механизм для Squid для автоматического определения нежелательных
>open(и не очень open) proxy?Не совсем понятно, что требуется.
Сформулируй вопрос по-другому.
Может быть я с хронического недосыпания совсем глупость придумала...
Скажем, существуют всякие оперативные блэк-листы для почтовиков, когда почтовик при helo проверяет ip отправителя на вшивость и в случае положительного ответа режектит письмо или вносит свою пометку(как в моем случае). Существуют ли подобные сервисы для Squid? Клиент посылает запрос содержащий destination адрес. Редиректор проверяет этот адрес на наличие его на блэк-лист - сервере и в случае положительного ответа выполняет заданное действие - блокировку или редирект и т.д. Понятно, что так могут отсеиваться или проходить дополнительную проверку не только открытые прокси, но и прочие "ненужности".
Чушь?
>
>Не совсем понятно, что требуется.
>Сформулируй вопрос по-другому.
> Может быть я с хронического недосыпания совсем глупость придумала...
Девушка? Ого, по стопам ginger?> Скажем, существуют всякие оперативные блэк-листы для почтовиков, когда почтовик при helo
Я в курсе принципов DNSBL для почты.>сервисы для Squid? Клиент посылает запрос содержащий destination адрес. Редиректор проверяет этот адрес на наличие его на блэк-лист - сервере и в
>случае положительного ответа выполняет заданное действие - блокировку или редирект и
>т.д.
Да, есть, конечно, такие механизмы, тут - на опен-нете - многократно описанные.
acl-мя сквида можно реализовывать очень гибкую политику.
А редиректорами - rejik, squidguard - резать баннеры, порно и т.д.> Понятно, что так могут отсеиваться или проходить дополнительную проверку не
>только открытые прокси, но и прочие "ненужности".
А вот открытое прокси - это из другой оперы. В отличие от почтовика, прокси не нужно открывать на весь инет. Правда, есть либо специально либо ошибочно настроенные открытые прокси.
>Да, есть, конечно, такие механизмы, тут - на опен-нете - многократно описанные.
>
>acl-мя сквида можно реализовывать очень гибкую политику.
>А редиректорами - rejik, squidguard - резать баннеры, порно и т.д.
Я как раз сейчас использую rejik. Его идея понятна, проблем не создает, делает то, что от него ожидается.>А вот открытое прокси - это из другой оперы. В отличие от
>почтовика, прокси не нужно открывать на весь инет. Правда, есть либо
>специально либо ошибочно настроенные открытые прокси.
Вот про них и речь. У нас есть большой отдел web-программистов. Они очень любят использовать именно "специально либо ошибочно настроенные открытые прокси". Политика ограничений доступа в Интернет у нас не жесткая. Я не очень понимаю страсть пользоваться открытыми прокси. Стесняются наверное :) А если серьезно, то ребята не научились предохраняться и тащут в сеть троянов и прочую гадость. Утомляет это.
>>А вот открытое прокси - это из другой оперы. В отличие от
> Вот про них и речь. У нас есть большой отдел web-программистов.
>Они очень любят использовать именно "специально либо ошибочно настроенные открытые прокси".
>Политика ограничений доступа в Интернет у нас не жесткая. Я не
>очень понимаю страсть пользоваться открытыми прокси. Стесняются наверное :)Теперь понятно. Открытыми прокси пользуются для того, чтобы либо не светиться в логах локального прокси, какими ресурсами пользуются, либо не светиться на ресурсе, с какого ай-пи идёт обращение.
>А если серьезно, то ребята не научились предохраняться и тащут в
Ты по совместительству и виндовая админша? Во-первых, проводить разъяснительную работу, во-вторых, грамотно настроить винду, но, увы, это не мой профиль.>сеть троянов и прочую гадость. Утомляет это.
Теперь по сути вопроса. Мягкий вариант - закрыть фаерволом проксёвые порты: 80, 3128, 8080, 8800 и т.д. Жесткий вариант - учитывая, что открытые прокси могут жить на любых портах, закрыть весь проходящий трафик, оставить только доступ к локальному прокси.
P.S. Админ Ж... Где ж такие чудеса-то встречаются?
>Ты по совместительству и виндовая админша? Во-первых, проводить разъяснительную работу, во-вторых, грамотно
>настроить винду, но, увы, это не мой профиль.
Я не занимаюсь поддержкой пользователей и работой с Win. У меня FreeBSD на серверах и ... MacOS X на маке дома и на работе :-P Парни которые как раз занимаются пользователями Win постоянно жалуются.
>
>>сеть троянов и прочую гадость. Утомляет это.
>>Теперь по сути вопроса. Мягкий вариант - закрыть фаерволом проксёвые порты: 80,
>3128, 8080, 8800 и т.д. Жесткий вариант - учитывая, что открытые
>прокси могут жить на любых портах, закрыть весь проходящий трафик, оставить
>только доступ к локальному прокси.
Ясно. Придется бить рублем. Нельзя нам все закрывать. А мягкий вариант бесполезен.>P.S. Админ Ж... Где ж такие чудеса-то встречаются?
Надеюсь, что там не то слово о котором сразу бы подумал Ржевский? :)
>>Ты по совместительству и виндовая админша? Во-первых, проводить разъяснительную работу, во-вторых, грамотно
>>настроить винду, но, увы, это не мой профиль.
> Я не занимаюсь поддержкой пользователей и работой с Win. У меня
>FreeBSD на серверах и ... MacOS X на маке дома и
>на работе :-P
Удивляюсь всё больше. Зачем это всё нужно девочке/девушке/женщине/бабушке?>Парни которые как раз занимаются пользователями Win постоянно жалуются.
Работал в фирме с грамотным виндовым админом. Ни сбоев, ни вирусов - но мне до него далеко.> Ясно. Придется бить рублем. Нельзя нам все закрывать. А мягкий вариант
>бесполезен.
Ещё есть один вариант, правда, я по описанию толком не понял - оно или не оно? iptables + tproxy (из patch-o-matic), а вот под БСД не знаю.>>P.S. Админ Ж... Где ж такие чудеса-то встречаются?
> Надеюсь, что там не то слово о котором сразу бы
>подумал Ржевский? :)
Тысяча извинений за невольно допущенную двусмысленность. icq: 84065753
>> Я не занимаюсь поддержкой пользователей и работой с Win. У меня
>>FreeBSD на серверах и ... MacOS X на маке дома и
>>на работе :-P
>Удивляюсь всё больше. Зачем это всё нужно девочке/девушке/женщине/бабушке?
Тяжелая мужская работа? ;)>Ещё есть один вариант, правда, я по описанию толком не понял -
>оно или не оно? iptables + tproxy (из patch-o-matic), а вот
>под БСД не знаю.
Закрыла в squid connect - был неправильный порядок правил. Притихли:) Наверное это и есть решение.>>>P.S. Админ Ж... Где ж такие чудеса-то встречаются?
>> Надеюсь, что там не то слово о котором сразу бы
>>подумал Ржевский? :)
>Тысяча извинений за невольно допущенную двусмысленность.
Принимаются:)
>icq: 84065753
у меня муж - волшебник. Но все равно спасибо:)
> Закрыла в squid connect - был неправильный порядок правил. Притихли:) Наверное
>это и есть решение.Что-то я потерял нить. Connect обычно нужен на ssl-ные порты, иначе через него можно и на 25-ый порт обращаться.
Твои программеры чужие открытые прокси юзают? Мы вроде этот вопрос обсуждали, причём здесь настройки локального прокси, если это просто проходящий трафик.
Или через твою прокси по connect-у к всякой фигне цепляются?
Или у тебя прокси фаерволом не прикрыто да ещё connect был разрешен? 8-[ ]
Вспомнилось из лички. Начало карьеры, 2000-ый год, инет ещё дайлапный и дорогой. Я работаю у провайдера. Приходит знакомая с подругой за рефератом. Подруга мне:
- И что ты здесь делаешь?
- Провайдер, саппорт.
- А какая у вас тут ОСь стоит?
Я в полной уверенности, что и она и слыхом не слыхала, гордо:
- Linux.
- А какой?
- Red Hat 6.2
- Мда, а я дома Mandrake ставила, мне он больше понравился.
У меня глаза по 5 копеек, челюсть на полу, потом у знакомой спрашиваю:
- Это кто такая?
Знакомая небрежно:
- Расслабся, во-первых она замужем, у неё муж компьютерщик, она этот линукс только из-за его плеча и видела...Зато нескольками годами позже читал Ginger-овскую статью про Exim + DbMail 8-[ ]
>> Закрыла в squid connect - был неправильный порядок правил. Притихли:) Наверное
>>это и есть решение.
>
>Что-то я потерял нить. Connect обычно нужен на ssl-ные порты, иначе черезНить у нас потеряна с самого начала и не без моей помощи. :) Изначально интересовала применимость принципа DNSBL для фильтрации всякого дурных ресурсов вообще и open proxy в частности. Сейчас эта частность интересует мало, а первая часть вопроса остается открытой. То есть это не крик "мама, помогите!", а просто вопрос - делают ли так:)
>Или через твою прокси по connect-у к всякой фигне цепляются?Уже не цепляются
>
>Зато нескольками годами позже читал Ginger-овскую статью про Exim + DbMail 8-[
>
Читала для общего развития. Ничего сказать не могу, т.к. на Exim пока смотрю с точки зрения экспериментальной. Поставила на одну машинку, но к настройкам пока не притрагивалась. Я привыкла к Postfix. :)
> Здравствуйте!
> DNSBL довольно широко используется при работе с почтой. Возникает естественный вопрос
>- существует ли похожий механизм для Squid для автоматического определения нежелательных
>open(и не очень open) proxy?Есть несколько сдерживающих моментов для использования принципов DNSBL в редиректорах:
1. Медленно. На каждый запрос клиента необходимо выполнять DNS резолв, что вводит дополнительную задержку. Такая задержка не существенна при хождении почты, и существенна при загрузке страницы сайта, а если ещё учесть, что на одной страницы N элементов и каждый придется так же проверять..
2. Не универсально. Так как позволяет работать только с доменными именами. Как например проверить site.ru/banner на наличие в DNS?
PS: Думал сделать такую систему для редиректоров, но по приведенным выше причинам отказался.
>Есть несколько сдерживающих моментов для использования принципов DNSBL в редиректорах:
>
>1. Медленно. На каждый запрос клиента необходимо выполнять DNS резолв, что вводит
>дополнительную задержку. Такая задержка не существенна при хождении почты, и существенна
>при загрузке страницы сайта, а если ещё учесть, что на одной
>страницы N элементов и каждый придется так же проверять..
>
>2. Не универсально. Так как позволяет работать только с доменными именами. Как
>например проверить site.ru/banner на наличие в DNS?
>
>PS: Думал сделать такую систему для редиректоров, но по приведенным выше причинам
>отказался.Резонно. Жаль, конечно, но получается, на самом деле, мартышкин труд.
Спасибо.