- RE: не могу больше обманывать юзеров!!! помогите!!, alx, 16:17 , 10-Апр-02 (1)
>У меня сетка под вин2000, маршрутизатор >под линух(там стоит прокси-Squid) > если в Internet Explorere порписать >"use proxy" и указать соответствующий >порт 3128 на вкладке "connections" >то все нормально -юзеры авторизуются >(логин+пароль и все хорошо считается >кто сколько накачал sarg'ом) >но если отключить опцию использования прокси.. >то просто они могут выходить >в инет напрямую.. без учета >и контроля!! >можно как нибудь так сделать чтобы >НЕЛЬЗЯ было по протоколу http >подключаться минуя прокси? > ipchains -P forward DENY >т.е просто запрещать все я не >могу >потому что мне еще как-то с >почтой работать надо.. > >что делать?? >подскажите пожалуйста!! >просто я боюсь что какой нить >юзер возьмет и прочухает что >к чему.. если уже..
- RE: не могу больше обманывать юзеров!!! помогите!!, Tanya, 16:27 , 10-Апр-02 (2)
>>У меня сетка под вин2000, маршрутизатор >>под линух(там стоит прокси-Squid) >> если в Internet Explorere порписать >>"use proxy" и указать соответствующий >>порт 3128 на вкладке "connections" >>то все нормально -юзеры авторизуются >>(логин+пароль и все хорошо считается >>кто сколько накачал sarg'ом) >>но если отключить опцию использования прокси.. >>то просто они могут выходить >>в инет напрямую.. без учета >>и контроля!! >>можно как нибудь так сделать чтобы >>НЕЛЬЗЯ было по протоколу http >>подключаться минуя прокси? >> >ipchains -P forward DENY >>т.е просто запрещать все я не >>могу >>потому что мне еще как-то с >>почтой работать надо.. >> >>что делать?? >>подскажите пожалуйста!! >>просто я боюсь что какой нить >>юзер возьмет и прочухает что >>к чему.. если уже.. забыла сказать у меня ipfwadm а не ipchains и почту все равно надо оставить
- RE: не могу больше обманывать юзеров!!! помогите!!, MF_FLIP, 13:10 , 11-Апр-02 (3)
squid.opennet.ruсм. transparent proxy
- RE: не могу больше обманывать юзеров!!! помогите!!, smooth, 12:14 , 12-Апр-02 (4)
>squid.opennet.ru > >см. transparent proxy всё достаточно просто в этом случае - надо просто резать файрволом 80 порт - http трафик и 443 - https на всёкий пожарный и всё номано по инету ходить не смогут - а почта работает так как работает по 25 порту - smtp и 110 - pop3 или что у вас там а на самом деле посаветовал бы закрыть всё что не нужно ввобще для секьюрности - нат обязательно поставить и внимательно за серваком следить
- RE: не могу больше обманывать юзеров!!! помогите!!, MF_FLIP, 13:09 , 12-Апр-02 (5)
>>squid.opennet.ru >> >>см. transparent proxy > > >всё достаточно просто в этом случае >- надо просто резать файрволом >80 порт - http трафик > >и 443 - https на всёкий >пожарный ну если не в лом бегать по юзверям и прокси прописывать.... IMHO луше не резать, а заворачивать весь http(s) трафик файрволом на проксю. Посмотрите, жуже не будет :) squid.opennet.ru
- RE: не могу больше обманывать юзеров!!! помогите!!, Sergey Vlasov, 20:12 , 12-Апр-02 (6)
В оригинальном вопросе было сказано, что используется авторизация - в этом случае transparent proxy не работает в принципе. Так что только резать. (Причем лучше зарезать все, а потом открыть, что попросят - например, порт 25 для отправки почты, 110 для приема по pop3 и т.п.; ICQ может работать через Squid по HTTPS).
- RE: не могу больше обманывать юзеров!!! помогите!!, chroot, 02:25 , 18-Апр-02 (7)
>У меня сетка под вин2000, маршрутизатор >под линух(там стоит прокси-Squid) > если в Internet Explorere порписать >"use proxy" и указать соответствующий >порт 3128 на вкладке "connections" >то все нормально -юзеры авторизуются >(логин+пароль и все хорошо считается >кто сколько накачал sarg'ом) >но если отключить опцию использования прокси.. >то просто они могут выходить >в инет напрямую.. без учета >и контроля!! >можно как нибудь так сделать чтобы >НЕЛЬЗЯ было по протоколу http >подключаться минуя прокси? --------------------------------------------- сделай прозрачный прокси смотри тут на этом сайте про это много написано смотри ipfadm ipchain iptables > >т.е просто запрещать все я не >могу >потому что мне еще как-то с >почтой работать надо.. > >что делать?? >подскажите пожалуйста!! >просто я боюсь что какой нить >юзер возьмет и прочухает что >к чему.. если уже.. - RE: не могу больше обманывать юзеров!!! помогите!!, Samsonov, 16:26 , 04-Май-02 (8)
Согласен с вариантами фильтрации траффика, транспарент прокси.В плане дополнения - в сети win2k (домен) неограниченные возможности по принудительной установке настроек (в т.ч. IE) и усечению прав пользователей. Все групповыми политиками.
- RE: не могу больше обманывать юзеров!!! помогите!!, kenzzo, 09:21 , 06-Май-02 (9)
всем большое спасиба я закрыла ipfwadm 80, 8080 итд вроде работает, открыла почтовые, default policy - deny и т.д.но!! Если я делаю сначала закрыть все а потом открыть то что надо то не работает подход к ДНС, то есть получается что порт и протокол которые используются для выхода на днс поэтому приходится все открывать и закрывать все очевидно а это опасно что делать-то?
- RE: не могу больше обманывать юзеров!!! помогите!!, dawnshade, 16:42 , 15-Июн-02 (11)
>У меня сетка под вин2000, маршрутизатор под линух(там стоит прокси-Squid) > если в Internet Explorere порписать "use proxy" и указать соответствующий порт >3128 на вкладке "connections" то все нормально -юзеры авторизуются (логин+пароль и >все хорошо считается кто сколько накачал sarg'ом) >но если отключить опцию использования прокси.. то просто они могут выходить в >инет напрямую.. без учета и контроля!! >можно как нибудь так сделать чтобы НЕЛЬЗЯ было по протоколу http подключаться >минуя прокси? > >т.е просто запрещать все я не могу >потому что мне еще как-то с почтой работать надо.. > >что делать?? >подскажите пожалуйста!! >просто я боюсь что какой нить юзер возьмет и прочухает что к >чему.. если уже.. Действительно прозрачный прокси не прокатит, т.к. не будет посылаться autentification required. Как глупый и простой вариант - каким-нибудь "тюнером, твикером" для виндов на клиентах спрячь вкладку "connections", чтоб не смогли снять галку с прокси сервера.
|