форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Раздел полезных советов: Защищаем http-proxy от пробрасывани..."		+/–
Сообщение от auto_tips (ok) on 09-Фев-10, 22:04
При пробрасывании http-туннеля через http-прокси, http-заголовок пакета имеет аномально маленький размер, порядка 80-90 байт, так как передается лишь минимальный набор данных. Заголовок передаваемых браузером запросов обычно не бывает меньше 350 байт. Основываясь на данной особенности можно отфильтровать проброшенных поверх http-прокси туннели.    # политика по умолчанию    iptables -P INPUT DROP    iptables -P OUTPUT DROP    iptables -P FORWARD DROP    # создаём новую цепочку LENGTH    iptables -N LENGTH    # проверяем длину пакета, если меньше 350 байт то блокируем    iptables -A LENGTH -p tcp --dport 3128 -m length --length :350 -j DROP    # если пакет больше 350 байт то пропускаем    iptables -A LENGTH -p tcp --dport 3128 -j ACCEPT    # разрешаем подключение на порт 3128    iptables -A INPUT -p tcp --syn --dport 3128 -j ACCEPT    # в установленом соединении проверяем пакеты на запрос GET --hex- string "|47 45 54 20|"    # если есть такой пакет то направляем его в цепочку LENGTH для проверки длины пакета    iptables -A INPUT -p tcp --dport 3128 -m state --state ESTABLISHED -m string --algo kmp \       --hex-string "|47 45 54 20|" --from 52 --to 56 -j LENGTH    iptables -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT    iptables -A OUTPUT -p all -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT Представленный пример опробован  на httptunnel URL: http://linux-online-ru.blogspot.com/2010/02/http-proxy-http-... Обсуждается: http://www.opennet.me/tips/info/2290.shtml
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Защищаем http-proxy от пробрасывания http-туннеля средствами..."		+/–
Сообщение от User294 (ok) on 09-Фев-10, 22:04
> http-заголовок пакета имеет аномально маленький > размер, порядка 80-90 байт Спасибо, Кэп. Мы учтем что вы и некоторые иные админы любите лишний бесполезный траффик и так и быть доработаем напильником свои тулзы на случай встреч с вами и вашими тулсами. Впрочем в заголовки тоже в принципе можно трафф запихнуть если захотеть :-). Интересное наблюдение по части аномалий, жаль что применение как всегда, ограничительное.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "Защищаем http-proxy от пробрасывания http-туннеля средствами..."		+/–
Сообщение от Аноним (??) on 09-Фев-10, 23:12
http-proxy можно использовать честно - браузером. При этом постить и скачивать гигабайты. Правда, нужен союзник с другой стороны, но он так и так нужен.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "Защищаем http-proxy от пробрасывания http-туннеля средствами..."		+/–
Сообщение от mike_t on 10-Фев-10, 08:22
а не проще тогда на проксе зарезать?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "Защищаем http-proxy от пробрасывания http-туннеля средствами..."		+/–
Сообщение от Вопросец on 10-Фев-10, 14:54
А подскажите, есть ли возможность фаерволом или в самой прокси подрезать возможность коннекта к удалённому openvpn серверу? И можно ли это подмутить при помощи ipfw?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	5. "Защищаем http-proxy от пробрасывания http-туннеля средствами..."		+/–
	Сообщение от mr_gfd on 10-Фев-10, 19:36
	>А подскажите, есть ли возможность фаерволом или в самой прокси подрезать возможность >коннекта к удалённому openvpn серверу? И можно ли это подмутить при >помощи ipfw? man mg_tag
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	6. "Защищаем http-proxy от пробрасывания http-туннеля средствами..."		+/–
	Сообщение от mr_gfd on 10-Фев-10, 19:36
	>>А подскажите, есть ли возможность фаерволом или в самой прокси подрезать возможность >>коннекта к удалённому openvpn серверу? И можно ли это подмутить при >>помощи ipfw? > >man mg_tag ng_tag //fixed
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	7. "Защищаем http-proxy от пробрасывания http-туннеля средствами..."		+/–
	Сообщение от azure (ok) on 13-Фев-10, 23:02
	не режьте таким как я единственную возможность достукиваться до домашней машины и рабочих серверов!
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

8. "Защищаем http-proxy от пробрасывания http-туннеля средствами..."		+/–
Сообщение от GlooM (??) on 20-Фев-10, 02:17
А если HTTP METHOD CONNECT забанить для 80-го порта разве соединение с прокси и туннелями установится? По идее, если заблочен метод-коннект, то должны работать только анонимайзеры, поскольку это обычные веб-страницы. А вот их уже одолеть можно только банлистом по названиям...
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема