| Защищаем http-proxy от пробрасывания http-туннеля средствами iptables |
[исправить] |
При пробрасывании http-туннеля через http-прокси, http-заголовок пакета имеет
аномально маленький размер, порядка 80-90 байт, так как передается лишь
минимальный набор данных. Заголовок передаваемых браузером запросов обычно не
бывает меньше 350 байт. Основываясь на данной особенности можно отфильтровать
проброшенных поверх http-прокси туннели.
# политика по умолчанию
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
# создаём новую цепочку LENGTH
iptables -N LENGTH
# проверяем длину пакета, если меньше 350 байт то блокируем
iptables -A LENGTH -p tcp --dport 3128 -m length --length :350 -j DROP
# если пакет больше 350 байт то пропускаем
iptables -A LENGTH -p tcp --dport 3128 -j ACCEPT
# разрешаем подключение на порт 3128
iptables -A INPUT -p tcp --syn --dport 3128 -j ACCEPT
# в установленом соединении проверяем пакеты на запрос GET --hex- string "|47 45 54 20|"
# если есть такой пакет то направляем его в цепочку LENGTH для проверки длины пакета
iptables -A INPUT -p tcp --dport 3128 -m state --state ESTABLISHED -m string --algo kmp \
--hex-string "|47 45 54 20|" --from 52 --to 56 -j LENGTH
iptables -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p all -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
Представленный пример опробован на httptunnel
|
| |
|
|
|
| Раздел: Корень / Администратору / Сетевые сервисы / Прокси сервер Squid / ACL, ограничения трафика и пользователей |
| 1.1, User294 (ok), 22:04, 09/02/2010 [ответить]
| +/– |
> http-заголовок пакета имеет аномально маленький
> размер, порядка 80-90 байт
Спасибо, Кэп. Мы учтем что вы и некоторые иные админы любите лишний бесполезный траффик и так и быть доработаем напильником свои тулзы на случай встреч с вами и вашими тулсами. Впрочем в заголовки тоже в принципе можно трафф запихнуть если захотеть :-). Интересное наблюдение по части аномалий, жаль что применение как всегда, ограничительное.
| | |
| 1.2, Аноним (-), 23:12, 09/02/2010 [ответить]
| +/– |
http-proxy можно использовать честно - браузером.
При этом постить и скачивать гигабайты.
Правда, нужен союзник с другой стороны, но он так и так нужен.
| | |
| 1.4, Вопросец (?), 14:54, 10/02/2010 [ответить]
| +/– |
А подскажите, есть ли возможность фаерволом или в самой прокси подрезать возможность коннекта к удалённому openvpn серверу? И можно ли это подмутить при помощи ipfw?
| | |
| |
| 2.5, mr_gfd (?), 19:36, 10/02/2010 [^] [^^] [^^^] [ответить]
| +/– |
>А подскажите, есть ли возможность фаерволом или в самой прокси подрезать возможность
>коннекта к удалённому openvpn серверу? И можно ли это подмутить при
>помощи ipfw?
man mg_tag
| | |
| |
| 3.6, mr_gfd (?), 19:36, 10/02/2010 [^] [^^] [^^^] [ответить]
| +/– |
>>А подскажите, есть ли возможность фаерволом или в самой прокси подрезать возможность
>>коннекта к удалённому openvpn серверу? И можно ли это подмутить при
>>помощи ipfw?
>
>man mg_tag
ng_tag //fixed
| | |
|
| 2.7, azure (ok), 23:02, 13/02/2010 [^] [^^] [^^^] [ответить]
| +/– |
не режьте таким как я единственную возможность достукиваться до домашней машины и рабочих серверов!
| | |
|
| 1.8, GlooM (??), 02:17, 20/02/2010 [ответить]
| +/– |
А если HTTP METHOD CONNECT забанить для 80-го порта разве соединение с прокси и туннелями установится? По идее, если заблочен метод-коннект, то должны работать только анонимайзеры, поскольку это обычные веб-страницы. А вот их уже одолеть можно только банлистом по названиям...
| | |
|