- RE: не могу больше обманывать юзеров!!! помогите!!,
 alx, 16:17 , 10-Апр-02 (1)>У меня сетка под вин2000, маршрутизатор
>под линух(там стоит прокси-Squid)
> если в Internet Explorere порписать
>"use proxy" и указать соответствующий
>порт 3128 на вкладке "connections"
>то все нормально -юзеры авторизуются
>(логин+пароль и все хорошо считается
>кто сколько накачал sarg'ом)
>но если отключить опцию использования прокси..
>то просто они могут выходить
>в инет напрямую.. без учета
>и контроля!!
>можно как нибудь так сделать чтобы
>НЕЛЬЗЯ было по протоколу http
>подключаться минуя прокси?
>
ipchains -P forward DENY
>т.е просто запрещать все я не
>могу
>потому что мне еще как-то с
>почтой работать надо..
>
>что делать??
>подскажите пожалуйста!!
>просто я боюсь что какой нить
>юзер возьмет и прочухает что
>к чему.. если уже..
- RE: не могу больше обманывать юзеров!!! помогите!!, Tanya, 16:27 , 10-Апр-02 (2)
>>У меня сетка под вин2000, маршрутизатор
>>под линух(там стоит прокси-Squid)
>> если в Internet Explorere порписать
>>"use proxy" и указать соответствующий
>>порт 3128 на вкладке "connections"
>>то все нормально -юзеры авторизуются
>>(логин+пароль и все хорошо считается
>>кто сколько накачал sarg'ом)
>>но если отключить опцию использования прокси..
>>то просто они могут выходить
>>в инет напрямую.. без учета
>>и контроля!!
>>можно как нибудь так сделать чтобы
>>НЕЛЬЗЯ было по протоколу http
>>подключаться минуя прокси?
>>
>ipchains -P forward DENY
>>т.е просто запрещать все я не
>>могу
>>потому что мне еще как-то с
>>почтой работать надо..
>>
>>что делать??
>>подскажите пожалуйста!!
>>просто я боюсь что какой нить
>>юзер возьмет и прочухает что
>>к чему.. если уже..
забыла сказать у меня ipfwadm а не ipchains
и почту все равно надо оставить
- RE: не могу больше обманывать юзеров!!! помогите!!, MF_FLIP, 13:10 , 11-Апр-02 (3)
squid.opennet.ruсм. transparent proxy
- RE: не могу больше обманывать юзеров!!! помогите!!, smooth, 12:14 , 12-Апр-02 (4)
>squid.opennet.ru
>
>см. transparent proxy
всё достаточно просто в этом случае - надо просто резать файрволом 80 порт - http трафик
и 443 - https на всёкий пожарный
и всё номано по инету ходить не смогут - а почта работает так как работает по 25 порту - smtp
и 110 - pop3 или что у вас там
а на самом деле посаветовал бы закрыть всё что не нужно ввобще для секьюрности - нат обязательно поставить и внимательно за серваком следить
- RE: не могу больше обманывать юзеров!!! помогите!!, MF_FLIP, 13:09 , 12-Апр-02 (5)
>>squid.opennet.ru
>>
>>см. transparent proxy
>
>
>всё достаточно просто в этом случае
>- надо просто резать файрволом
>80 порт - http трафик
>
>и 443 - https на всёкий
>пожарный ну если не в лом бегать по юзверям и прокси прописывать....
IMHO луше не резать, а заворачивать весь http(s) трафик файрволом на проксю. Посмотрите, жуже не будет :) squid.opennet.ru
- RE: не могу больше обманывать юзеров!!! помогите!!, Sergey Vlasov, 20:12 , 12-Апр-02 (6)
В оригинальном вопросе было сказано, что используется авторизация - в этом случае transparent proxy не работает в принципе. Так что только резать. (Причем лучше зарезать все, а потом открыть, что попросят - например, порт 25 для отправки почты, 110 для приема по pop3 и т.п.; ICQ может работать через Squid по HTTPS).
- RE: не могу больше обманывать юзеров!!! помогите!!, chroot, 02:25 , 18-Апр-02 (7)
>У меня сетка под вин2000, маршрутизатор
>под линух(там стоит прокси-Squid)
> если в Internet Explorere порписать
>"use proxy" и указать соответствующий
>порт 3128 на вкладке "connections"
>то все нормально -юзеры авторизуются
>(логин+пароль и все хорошо считается
>кто сколько накачал sarg'ом)
>но если отключить опцию использования прокси..
>то просто они могут выходить
>в инет напрямую.. без учета
>и контроля!!
>можно как нибудь так сделать чтобы
>НЕЛЬЗЯ было по протоколу http
>подключаться минуя прокси?
---------------------------------------------
сделай прозрачный прокси смотри тут на этом сайте про это много написано смотри ipfadm ipchain iptables
>
>т.е просто запрещать все я не
>могу
>потому что мне еще как-то с
>почтой работать надо..
>
>что делать??
>подскажите пожалуйста!!
>просто я боюсь что какой нить
>юзер возьмет и прочухает что
>к чему.. если уже.. - RE: не могу больше обманывать юзеров!!! помогите!!, Samsonov, 16:26 , 04-Май-02 (8)
Согласен с вариантами фильтрации траффика, транспарент прокси.В плане дополнения - в сети win2k (домен) неограниченные возможности по принудительной установке настроек (в т.ч. IE) и усечению прав пользователей. Все групповыми политиками.
- RE: не могу больше обманывать юзеров!!! помогите!!, kenzzo, 09:21 , 06-Май-02 (9)
всем большое спасиба
я закрыла ipfwadm 80, 8080 итд
вроде работает, открыла почтовые, default policy - deny и т.д.но!! Если я делаю сначала закрыть все а потом открыть то что надо то не работает подход к ДНС, то есть получается что порт и протокол которые используются для выхода на днс
поэтому приходится все открывать и закрывать все очевидно
а это опасно
что делать-то?
- RE: не могу больше обманывать юзеров!!! помогите!!, dawnshade, 16:42 , 15-Июн-02 (11)
>У меня сетка под вин2000, маршрутизатор под линух(там стоит прокси-Squid)
> если в Internet Explorere порписать "use proxy" и указать соответствующий порт
>3128 на вкладке "connections" то все нормально -юзеры авторизуются (логин+пароль и
>все хорошо считается кто сколько накачал sarg'ом)
>но если отключить опцию использования прокси.. то просто они могут выходить в
>инет напрямую.. без учета и контроля!!
>можно как нибудь так сделать чтобы НЕЛЬЗЯ было по протоколу http подключаться
>минуя прокси?
>
>т.е просто запрещать все я не могу
>потому что мне еще как-то с почтой работать надо..
>
>что делать??
>подскажите пожалуйста!!
>просто я боюсь что какой нить юзер возьмет и прочухает что к
>чему.. если уже.. Действительно прозрачный прокси не прокатит, т.к. не будет посылаться autentification required.
Как глупый и простой вариант - каким-нибудь "тюнером, твикером" для виндов на клиентах спрячь вкладку "connections", чтоб не смогли снять галку с прокси сервера.
|
Версия для распечатки
не могу больше обманывать юзеров!!! помогите!!, 
