forum.opennet.ru

Составление сообщения

Исходное сообщение

"Как настроить сквид, чтобы он блочил траффик программ?"
Отправлено GlooM, 12-Апр-10 22:10

Здравствуйте. Помогите плз решить проблему.
Имеется шлюз на FreeBSD_7.2, ipfw, Squid3, SquidGuard через который в инет ходит рабочая локалка.
Ситуация такая: юзерам открыт только 80 порт (даже https весь запрещен) + 25 и 110 порт на корпоративный почтовый сервер (остальное в тотальный дроп), причем запросы на 80 порт автоматически заворачиваются на сквид, работающий в транспарент режиме. Таким образом, все запросы проходящие в инет идут через сквид, где, при помощи сквидгарда, обрабатываются на принадлежность к списку "плохих сайтов", соответственно, пишется лог всего этого. С блокировкой сайтов сквид+сквидгард справляются нормально, т.е. из блокировочного списка сайт редиректится на картинку-затычку, и из браузера юзер не может посмотреть любой адрес, где в слове или части слова встречается выражение из базы сквидгарда. Стоит еще заметить, что конфигой сквида запрещен "метод коннект".
Казалось бы, кроме веб-анонимайзеров, ничего пролазить "мимо кассы" не должно....
Однако, недавно наблюдал такую ситуацию. На браузер устанавливается плагин "Яндекс.бар", после чего в логах сквида начинают активно появляться метки о посещении с данного локального компа (на браузере которого стоит яндексбар) адреса bar-navig.yandex.ru. Т.е. этот плагин коннектится к своему серверу через 80 порт и сгребает, таким образом, информацию для отображения в себе. Я, значит, выражение "bar-navig" засовываю в "базу гадостей" сквидгарда, вижу что такой сайт действительно блокируется (из браузера), но, на следующий день наблюдаю полные логи этих обращений к бар-навигу.яндекс.ру с немалым количеством насосанного трафика! Как? Он же запрещен?! И если сам сквид в своем логе это великолепно фиксирует, так что же ему мешает это банить (тем более метод_коннект запрещен)?
Делаю лукап этого бар-навига, получаю весь перечень айпи, которые, дружно отправляются в фильтрующее правило ipfw. Никаких бар-навигов после этого в логах в помине нет. Т.е. удалось зафильтровать только фаерволом, политиками дропа айпи, а не адресов в хттп запросах.
Но, недавно появилась другая проблема, юзер повадился пользоваться сервисом открытия удаленного доступа через сторонние сервера и их программу агент. Эта программа, наподобие того самого яндексбара не просто запрашивает страничку, а стучится к своему серверу через 80 порт так, что сквид его не кроет. В логах куча пометок: server500.blabla.com; server602.blabla.com; server624.blabla.com и так далее. Всю эту дрянь в айпифв засунуть не получится, я затрахаюсь лукапить каждое имя, кроме того там не одна подсеть на все сервера, а капитальный разброс адресов. Как заставить все таки сквид выпиливать эти запросы, ведь в нем же можно просто разом (выражение blabla.com) накрыть все сервера. Я просто не понимаю суть - как эти запросы вообще проходят? Чем отличается запрос в браузере адреса, от таких запросов через программы\плагины к браузерам итд? Повторюсь, метод коннект запрещен.
Заранее спасибо.

Исходное сообщение
"Как настроить сквид, чтобы он блочил траффик программ?" Отправлено GlooM, 12-Апр-10 22:10
Здравствуйте. Помогите плз решить проблему. Имеется шлюз на FreeBSD_7.2, ipfw, Squid3, SquidGuard через который в инет ходит рабочая локалка. Ситуация такая: юзерам открыт только 80 порт (даже https весь запрещен) + 25 и 110 порт на корпоративный почтовый сервер (остальное в тотальный дроп), причем запросы на 80 порт автоматически заворачиваются на сквид, работающий в транспарент режиме. Таким образом, все запросы проходящие в инет идут через сквид, где, при помощи сквидгарда, обрабатываются на принадлежность к списку "плохих сайтов", соответственно, пишется лог всего этого. С блокировкой сайтов сквид+сквидгард справляются нормально, т.е. из блокировочного списка сайт редиректится на картинку-затычку, и из браузера юзер не может посмотреть любой адрес, где в слове или части слова встречается выражение из базы сквидгарда. Стоит еще заметить, что конфигой сквида запрещен "метод коннект". Казалось бы, кроме веб-анонимайзеров, ничего пролазить "мимо кассы" не должно.... Однако, недавно наблюдал такую ситуацию. На браузер устанавливается плагин "Яндекс.бар", после чего в логах сквида начинают активно появляться метки о посещении с данного локального компа (на браузере которого стоит яндексбар) адреса bar-navig.yandex.ru. Т.е. этот плагин коннектится к своему серверу через 80 порт и сгребает, таким образом, информацию для отображения в себе. Я, значит, выражение "bar-navig" засовываю в "базу гадостей" сквидгарда, вижу что такой сайт действительно блокируется (из браузера), но, на следующий день наблюдаю полные логи этих обращений к бар-навигу.яндекс.ру с немалым количеством насосанного трафика! Как? Он же запрещен?! И если сам сквид в своем логе это великолепно фиксирует, так что же ему мешает это банить (тем более метод_коннект запрещен)? Делаю лукап этого бар-навига, получаю весь перечень айпи, которые, дружно отправляются в фильтрующее правило ipfw. Никаких бар-навигов после этого в логах в помине нет. Т.е. удалось зафильтровать только фаерволом, политиками дропа айпи, а не адресов в хттп запросах. Но, недавно появилась другая проблема, юзер повадился пользоваться сервисом открытия удаленного доступа через сторонние сервера и их программу агент. Эта программа, наподобие того самого яндексбара не просто запрашивает страничку, а стучится к своему серверу через 80 порт так, что сквид его не кроет. В логах куча пометок: server500.blabla.com; server602.blabla.com; server624.blabla.com и так далее. Всю эту дрянь в айпифв засунуть не получится, я затрахаюсь лукапить каждое имя, кроме того там не одна подсеть на все сервера, а капитальный разброс адресов. Как заставить все таки сквид выпиливать эти запросы, ведь в нем же можно просто разом (выражение blabla.com) накрыть все сервера. Я просто не понимаю суть - как эти запросы вообще проходят? Чем отличается запрос в браузере адреса, от таких запросов через программы\плагины к браузерам итд? Повторюсь, метод коннект запрещен. Заранее спасибо.

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

На сайте действует частичное премодерирование - после публикации некоторые сообщения от анонимов могут автоматически скрываться ботом. После проверки модератором ошибочно скрытые сообщения раскрываются. Для ускорения раскрытия можно воспользоваться ссылкой "Сообщить модератору", указав в качестве причины обращения "скрыто по ошибке".

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру