forum.opennet.ru - "Закрыть доступ к непрозрачному squid! ТОЛЬКО ПРОЗНАЧНЫЙ ЧТОБ..." (6)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Закрыть доступ к непрозрачному squid! ТОЛЬКО ПРОЗНАЧНЫЙ ЧТОБ..."

Форумы Настройка Squid и других прокси серверов (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Закрыть доступ к непрозрачному squid! ТОЛЬКО ПРОЗНАЧНЫЙ ЧТОБ..."
Сообщение от Amig0 on 10-Янв-05, 19:13 (MSK)
Вообще вопрос сабжевый! Ситуация следующая: есть VPN сервер, если делаю прозрачный сквид, то по сессиям клиентов трафик считается, Но если кто-то просечет что работает прозрачное прокси и поставит его железно в броузере - то траф считаться не будет! Нужно закрыть доступ к прямому прокси! Спасибо! Попутно вопрос - Невозможно ходить на некоторые сайты через сквид - на прямую работает! echo 0 > /proc/sys/net/ipv4/tcp_ecn это само собой уже стоит! connection timeout - не причем! www.xuligan.ru не работает ): может не у меня одного! попробуйте пожалуйста!
	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

Закрыть доступ к непрозрачному squid! ТОЛЬКО ПРОЗНАЧНЫЙ ЧТОБ..., tin, 20:50 , 10-Янв-05, (1)
- Закрыть доступ к непрозрачному squid! ТОЛЬКО ПРОЗНАЧНЫЙ ЧТОБ..., amig0, 11:40 , 11-Янв-05, (2)
  - Закрыть доступ к непрозрачному squid! ТОЛЬКО ПРОЗНАЧНЫЙ ЧТОБ..., tin, 11:54 , 11-Янв-05, (3)
    - Закрыть доступ к непрозрачному squid! ТОЛЬКО ПРОЗНАЧНЫЙ ЧТОБ..., amig0, 15:56 , 11-Янв-05, (4)
      - Закрыть доступ к непрозрачному squid! ТОЛЬКО ПРОЗНАЧНЫЙ ЧТОБ..., zabudkin, 16:03 , 13-Янв-05, (5)
Закрыть доступ к непрозрачному squid! ТОЛЬКО ПРОЗНАЧНЫЙ ЧТОБ..., spectr, 14:18 , 18-Янв-05, (6)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Закрыть доступ к непрозрачному squid! ТОЛЬКО ПРОЗНАЧНЫЙ ЧТОБ..."

Сообщение от tin (??) on 10-Янв-05, 20:50  (MSK)

А через ACL запретить ходить не с VPN-IP почему нельзя?
То бишь
acl clients src VPN_NETWORK
http_access allow clients
http_access deny all
где VPN_NETWORK - IP-адреса VPN сессий клиентов

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Закрыть доступ к непрозрачному squid! ТОЛЬКО ПРОЗНАЧНЫЙ ЧТОБ..."

Сообщение от amig0 on 11-Янв-05, 11:40  (MSK)

>А через ACL запретить ходить не с VPN-IP почему нельзя?
>То бишь
>
>acl clients src VPN_NETWORK
>http_access allow clients
>http_access deny all
>
>где VPN_NETWORK - IP-адреса VPN сессий клиентов
>
Да это и ежу понятно! я не об этом, это и так сделано.
Вопрос то вдругом. Мне нужно, чтобы эти самые клиенты(IP или сессии) как угодно их называйте, нужно чтобы они НЕ МОГЛИ в своих бровзерах прописать мой сквид! Если они его пропишут - у меня трафик по их сессиям не будет считаться!

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Закрыть доступ к непрозрачному squid! ТОЛЬКО ПРОЗНАЧНЫЙ ЧТОБ..."

Сообщение от tin (??) on 11-Янв-05, 11:54  (MSK)

>>А через ACL запретить ходить не с VPN-IP почему нельзя?
>>То бишь
>>
>>acl clients src VPN_NETWORK
>>http_access allow clients
>>http_access deny all
>>
>>где VPN_NETWORK - IP-адреса VPN сессий клиентов
>>
>
>Да это и ежу понятно! я не об этом, это и так
>сделано.
>Вопрос то вдругом. Мне нужно, чтобы эти самые клиенты(IP или сессии) как
>угодно их называйте, нужно чтобы они НЕ МОГЛИ в своих бровзерах
>прописать мой сквид! Если они его пропишут - у меня трафик
>по их сессиям не будет считаться!
А что будет с того, что пропишут? Если у них VPN включен - то идти они будут с VPN-овских IP и по VPN-туннелям, как они обычноо ходят в инет. Сквид их пропустит. Если у них не будет VPN-соединения, то соответственно до сквиды они дойдут и все. Поскольку идти они будут уже не с тех IP адресов, а с адресов опорной сети. Соответственно никто их считать не будет, и сквид им ничего не отдаст.
А вообще-то это к сквиде отношения не имеет никакого. Пожалуйте в мыло! :)

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Закрыть доступ к непрозрачному squid! ТОЛЬКО ПРОЗНАЧНЫЙ ЧТОБ..."

Сообщение от amig0 on 11-Янв-05, 15:56  (MSK)

>>>А через ACL запретить ходить не с VPN-IP почему нельзя?
>>>То бишь
>>>
>>>acl clients src VPN_NETWORK
>>>http_access allow clients
>>>http_access deny all
>>>
>>>где VPN_NETWORK - IP-адреса VPN сессий клиентов
>>>
>>
>>Да это и ежу понятно! я не об этом, это и так
>>сделано.
>>Вопрос то вдругом. Мне нужно, чтобы эти самые клиенты(IP или сессии) как
>>угодно их называйте, нужно чтобы они НЕ МОГЛИ в своих бровзерах
>>прописать мой сквид! Если они его пропишут - у меня трафик
>>по их сессиям не будет считаться!
>
>А что будет с того, что пропишут? Если у них VPN включен
>- то идти они будут с VPN-овских IP и по VPN-туннелям,
>как они обычноо ходят в инет. Сквид их пропустит. Если у
>них не будет VPN-соединения, то соответственно до сквиды они дойдут и
>все. Поскольку идти они будут уже не с тех IP адресов,
>а с адресов опорной сети. Соответственно никто их считать не будет,
>и сквид им ничего не отдаст.
>
>А вообще-то это к сквиде отношения не имеет никакого. Пожалуйте в мыло!
>:)

Спасибо за предложение! Но я тут объясню! Мыслишь правильно - но у меня на РРР стоит патч ,который с локальных АЙПИ траф радиусу не передает!
Думаем дальше (:

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Закрыть доступ к непрозрачному squid! ТОЛЬКО ПРОЗНАЧНЫЙ ЧТОБ..."

Сообщение от zabudkin (ok) on 13-Янв-05, 16:03  (MSK)

Через iptables запретить доступ к порту 3128 где висит squid (например 192.168.0.1):
iptables -A FORWARD -p tcp -dst 192.168.0.1 --dport 3128 -j REJECT
PS: примерно такая команда, не помню точно.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "Закрыть доступ к непрозрачному squid! ТОЛЬКО ПРОЗНАЧНЫЙ ЧТОБ..."

Сообщение от spectr (ok) on 18-Янв-05, 14:18  (MSK)

>Вообще вопрос сабжевый! Ситуация следующая: есть VPN сервер, если делаю прозрачный сквид,
>то по сессиям клиентов трафик считается, Но если кто-то просечет что
>работает прозрачное прокси и поставит его железно в броузере - то
>траф считаться не будет!
>Нужно закрыть доступ к прямому прокси!
>Спасибо!
>Попутно вопрос - Невозможно ходить на некоторые сайты через сквид - на
>прямую работает!
>echo 0 > /proc/sys/net/ipv4/tcp_ecn
>это само собой уже стоит!
>connection timeout - не причем!
>www.xuligan.ru
>не работает ): может не у меня одного!
>попробуйте пожалуйста!

Глобально другое предложение пишеш в squid.conf http_port 127.0.0.0.1:3128
Сечёшь не просто http_port 3128 а http_port 127.0.0.0.1:3128
тогда сквид бужет слушать тока локального хоста.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Закрыть доступ к непрозрачному squid! ТОЛЬКО ПРОЗНАЧНЫЙ ЧТОБ..."
Сообщение от tin (??) on 10-Янв-05, 20:50 (MSK)
А через ACL запретить ходить не с VPN-IP почему нельзя? То бишь acl clients src VPN_NETWORK http_access allow clients http_access deny all где VPN_NETWORK - IP-адреса VPN сессий клиентов
Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "Закрыть доступ к непрозрачному squid! ТОЛЬКО ПРОЗНАЧНЫЙ ЧТОБ..."
	Сообщение от amig0 on 11-Янв-05, 11:40 (MSK)
	>А через ACL запретить ходить не с VPN-IP почему нельзя? >То бишь > >acl clients src VPN_NETWORK >http_access allow clients >http_access deny all > >где VPN_NETWORK - IP-адреса VPN сессий клиентов > Да это и ежу понятно! я не об этом, это и так сделано. Вопрос то вдругом. Мне нужно, чтобы эти самые клиенты(IP или сессии) как угодно их называйте, нужно чтобы они НЕ МОГЛИ в своих бровзерах прописать мой сквид! Если они его пропишут - у меня трафик по их сессиям не будет считаться!
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "Закрыть доступ к непрозрачному squid! ТОЛЬКО ПРОЗНАЧНЫЙ ЧТОБ..."
	Сообщение от tin (??) on 11-Янв-05, 11:54 (MSK)
	>>А через ACL запретить ходить не с VPN-IP почему нельзя? >>То бишь >> >>acl clients src VPN_NETWORK >>http_access allow clients >>http_access deny all >> >>где VPN_NETWORK - IP-адреса VPN сессий клиентов >> > >Да это и ежу понятно! я не об этом, это и так >сделано. >Вопрос то вдругом. Мне нужно, чтобы эти самые клиенты(IP или сессии) как >угодно их называйте, нужно чтобы они НЕ МОГЛИ в своих бровзерах >прописать мой сквид! Если они его пропишут - у меня трафик >по их сессиям не будет считаться! А что будет с того, что пропишут? Если у них VPN включен - то идти они будут с VPN-овских IP и по VPN-туннелям, как они обычноо ходят в инет. Сквид их пропустит. Если у них не будет VPN-соединения, то соответственно до сквиды они дойдут и все. Поскольку идти они будут уже не с тех IP адресов, а с адресов опорной сети. Соответственно никто их считать не будет, и сквид им ничего не отдаст. А вообще-то это к сквиде отношения не имеет никакого. Пожалуйте в мыло! :)
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "Закрыть доступ к непрозрачному squid! ТОЛЬКО ПРОЗНАЧНЫЙ ЧТОБ..."
	Сообщение от amig0 on 11-Янв-05, 15:56 (MSK)
	>>>А через ACL запретить ходить не с VPN-IP почему нельзя? >>>То бишь >>> >>>acl clients src VPN_NETWORK >>>http_access allow clients >>>http_access deny all >>> >>>где VPN_NETWORK - IP-адреса VPN сессий клиентов >>> >> >>Да это и ежу понятно! я не об этом, это и так >>сделано. >>Вопрос то вдругом. Мне нужно, чтобы эти самые клиенты(IP или сессии) как >>угодно их называйте, нужно чтобы они НЕ МОГЛИ в своих бровзерах >>прописать мой сквид! Если они его пропишут - у меня трафик >>по их сессиям не будет считаться! > >А что будет с того, что пропишут? Если у них VPN включен >- то идти они будут с VPN-овских IP и по VPN-туннелям, >как они обычноо ходят в инет. Сквид их пропустит. Если у >них не будет VPN-соединения, то соответственно до сквиды они дойдут и >все. Поскольку идти они будут уже не с тех IP адресов, >а с адресов опорной сети. Соответственно никто их считать не будет, >и сквид им ничего не отдаст. > >А вообще-то это к сквиде отношения не имеет никакого. Пожалуйте в мыло! >:) Спасибо за предложение! Но я тут объясню! Мыслишь правильно - но у меня на РРР стоит патч ,который с локальных АЙПИ траф радиусу не передает! Думаем дальше (:
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "Закрыть доступ к непрозрачному squid! ТОЛЬКО ПРОЗНАЧНЫЙ ЧТОБ..."
	Сообщение от zabudkin (ok) on 13-Янв-05, 16:03 (MSK)
	Через iptables запретить доступ к порту 3128 где висит squid (например 192.168.0.1): iptables -A FORWARD -p tcp -dst 192.168.0.1 --dport 3128 -j REJECT PS: примерно такая команда, не помню точно.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

6. "Закрыть доступ к непрозрачному squid! ТОЛЬКО ПРОЗНАЧНЫЙ ЧТОБ..."
Сообщение от spectr (ok) on 18-Янв-05, 14:18 (MSK)
>Вообще вопрос сабжевый! Ситуация следующая: есть VPN сервер, если делаю прозрачный сквид, >то по сессиям клиентов трафик считается, Но если кто-то просечет что >работает прозрачное прокси и поставит его железно в броузере - то >траф считаться не будет! >Нужно закрыть доступ к прямому прокси! >Спасибо! >Попутно вопрос - Невозможно ходить на некоторые сайты через сквид - на >прямую работает! >echo 0 > /proc/sys/net/ipv4/tcp_ecn >это само собой уже стоит! >connection timeout - не причем! >www.xuligan.ru >не работает ): может не у меня одного! >попробуйте пожалуйста! Глобально другое предложение пишеш в squid.conf http_port 127.0.0.0.1:3128 Сечёшь не просто http_port 3128 а http_port 127.0.0.0.1:3128 тогда сквид бужет слушать тока локального хоста.
Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх