The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"не могу больше обманывать юзеров!!! помогите!!"
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы Информационная безопасность (Public)
Изначальное сообщение [Проследить за развитием треда]

"не могу больше обманывать юзеров!!! помогите!!"
Сообщение от Tanya Искать по авторуВ закладки on 10-Апр-02, 16:08  (MSK)
У меня сетка под вин2000, маршрутизатор под линух(там стоит прокси-Squid)
если в Internet Explorere порписать "use proxy" и указать соответствующий порт 3128 на вкладке "connections" то все нормально -юзеры авторизуются (логин+пароль и все хорошо считается кто сколько накачал sarg'ом)
но если отключить опцию использования прокси.. то просто они могут выходить в инет напрямую.. без учета и контроля!!
можно как нибудь так сделать чтобы НЕЛЬЗЯ было по протоколу http подключаться минуя прокси?

т.е просто запрещать все я не могу
потому что мне еще как-то с почтой работать надо..

что делать??
подскажите пожалуйста!!
просто я боюсь что какой нить юзер возьмет и прочухает что к чему.. если уже..

  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "RE: не могу больше обманывать юзеров!!! помогите!!"
Сообщение от alx Искать по авторуВ закладки on 10-Апр-02, 16:17  (MSK)
>У меня сетка под вин2000, маршрутизатор
>под линух(там стоит прокси-Squid)
> если в Internet Explorere порписать
>"use proxy" и указать соответствующий
>порт 3128 на вкладке "connections"
>то все нормально -юзеры авторизуются
>(логин+пароль и все хорошо считается
>кто сколько накачал sarg'ом)
>но если отключить опцию использования прокси..
>то просто они могут выходить
>в инет напрямую.. без учета
>и контроля!!
>можно как нибудь так сделать чтобы
>НЕЛЬЗЯ было по протоколу http
>подключаться минуя прокси?
>
ipchains -P forward DENY
>т.е просто запрещать все я не
>могу
>потому что мне еще как-то с
>почтой работать надо..
>
>что делать??
>подскажите пожалуйста!!
>просто я боюсь что какой нить
>юзер возьмет и прочухает что
>к чему.. если уже..


  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "RE: не могу больше обманывать юзеров!!! помогите!!"
Сообщение от Tanya Искать по авторуВ закладки on 10-Апр-02, 16:27  (MSK)
>>У меня сетка под вин2000, маршрутизатор
>>под линух(там стоит прокси-Squid)
>> если в Internet Explorere порписать
>>"use proxy" и указать соответствующий
>>порт 3128 на вкладке "connections"
>>то все нормально -юзеры авторизуются
>>(логин+пароль и все хорошо считается
>>кто сколько накачал sarg'ом)
>>но если отключить опцию использования прокси..
>>то просто они могут выходить
>>в инет напрямую.. без учета
>>и контроля!!
>>можно как нибудь так сделать чтобы
>>НЕЛЬЗЯ было по протоколу http
>>подключаться минуя прокси?
>>
>ipchains -P forward DENY
>>т.е просто запрещать все я не
>>могу
>>потому что мне еще как-то с
>>почтой работать надо..
>>
>>что делать??
>>подскажите пожалуйста!!
>>просто я боюсь что какой нить
>>юзер возьмет и прочухает что
>>к чему.. если уже..


забыла сказать у меня ipfwadm а не ipchains
и почту все равно надо оставить

  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "RE: не могу больше обманывать юзеров!!! помогите!!"
Сообщение от MF_FLIP emailИскать по авторуВ закладки on 11-Апр-02, 13:10  (MSK)
squid.opennet.ru

см. transparent proxy

  Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "RE: не могу больше обманывать юзеров!!! помогите!!"
Сообщение от smooth Искать по авторуВ закладки on 12-Апр-02, 12:14  (MSK)
>squid.opennet.ru
>
>см. transparent proxy


всё достаточно просто в этом случае - надо просто резать файрволом 80 порт - http трафик
и 443 - https на всёкий пожарный
и всё номано по инету ходить не смогут - а почта работает так как работает по 25 порту - smtp
и 110 - pop3 или что у вас там
а на самом деле посаветовал бы закрыть всё что не нужно ввобще для секьюрности - нат обязательно поставить и внимательно за серваком следить

  Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "RE: не могу больше обманывать юзеров!!! помогите!!"
Сообщение от MF_FLIP emailИскать по авторуВ закладки on 12-Апр-02, 13:09  (MSK)
>>squid.opennet.ru
>>
>>см. transparent proxy
>
>
>всё достаточно просто в этом случае
>- надо просто резать файрволом
>80 порт - http трафик
>
>и 443 - https на всёкий
>пожарный

ну если не в лом бегать по юзверям и прокси прописывать....
IMHO луше не резать, а заворачивать весь http(s) трафик файрволом на проксю.

Посмотрите, жуже не будет :) squid.opennet.ru

  Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "RE: не могу больше обманывать юзеров!!! помогите!!"
Сообщение от Sergey Vlasov Искать по авторуВ закладки on 12-Апр-02, 20:12  (MSK)
В оригинальном вопросе было сказано, что используется авторизация - в этом случае transparent proxy не работает в принципе. Так что только резать. (Причем лучше зарезать все, а потом открыть, что попросят - например, порт 25 для отправки почты, 110 для приема по pop3 и т.п.; ICQ может работать через Squid по HTTPS).
  Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "RE: не могу больше обманывать юзеров!!! помогите!!"
Сообщение от chroot emailИскать по авторуВ закладки on 18-Апр-02, 02:25  (MSK)
>У меня сетка под вин2000, маршрутизатор
>под линух(там стоит прокси-Squid)
> если в Internet Explorere порписать
>"use proxy" и указать соответствующий
>порт 3128 на вкладке "connections"
>то все нормально -юзеры авторизуются
>(логин+пароль и все хорошо считается
>кто сколько накачал sarg'ом)
>но если отключить опцию использования прокси..
>то просто они могут выходить
>в инет напрямую.. без учета
>и контроля!!
>можно как нибудь так сделать чтобы
>НЕЛЬЗЯ было по протоколу http
>подключаться минуя прокси?
---------------------------------------------
сделай прозрачный прокси смотри тут на этом сайте про это много написано смотри ipfadm ipchain iptables
>
>т.е просто запрещать все я не
>могу
>потому что мне еще как-то с
>почтой работать надо..
>
>что делать??
>подскажите пожалуйста!!
>просто я боюсь что какой нить
>юзер возьмет и прочухает что
>к чему.. если уже..


  Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "RE: не могу больше обманывать юзеров!!! помогите!!"
Сообщение от Samsonov Искать по авторуВ закладки on 04-Май-02, 16:26  (MSK)
Согласен с вариантами фильтрации траффика, транспарент прокси.

В плане дополнения - в сети win2k (домен) неограниченные возможности по принудительной установке настроек (в т.ч. IE) и усечению прав пользователей. Все групповыми политиками.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "RE: не могу больше обманывать юзеров!!! помогите!!"
Сообщение от kenzzo Искать по авторуВ закладки on 06-Май-02, 09:21  (MSK)
всем большое спасиба
я закрыла ipfwadm 80, 8080 итд
вроде работает, открыла почтовые, default policy - deny и т.д.

но!!

Если я делаю сначала закрыть все а потом открыть то что надо то не работает подход к ДНС, то есть получается что порт и протокол которые используются для выхода на днс
поэтому приходится все открывать и закрывать все очевидно
а это опасно
что делать-то?


  Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "RE: не могу больше обманывать юзеров!!! помогите!!"
Сообщение от Firewalker Искать по авторуВ закладки on 20-Май-02, 17:00  (MSK)
так зделай allow для порта 53 !!

  Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "RE: не могу больше обманывать юзеров!!! помогите!!"
Сообщение от dawnshade Искать по авторуВ закладки on 15-Июн-02, 16:42  (MSK)
>У меня сетка под вин2000, маршрутизатор под линух(там стоит прокси-Squid)
> если в Internet Explorere порписать "use proxy" и указать соответствующий порт
>3128 на вкладке "connections" то все нормально -юзеры авторизуются (логин+пароль и
>все хорошо считается кто сколько накачал sarg'ом)
>но если отключить опцию использования прокси.. то просто они могут выходить в
>инет напрямую.. без учета и контроля!!
>можно как нибудь так сделать чтобы НЕЛЬЗЯ было по протоколу http подключаться
>минуя прокси?
>
>т.е просто запрещать все я не могу
>потому что мне еще как-то с почтой работать надо..
>
>что делать??
>подскажите пожалуйста!!
>просто я боюсь что какой нить юзер возьмет и прочухает что к
>чему.. если уже..

Действительно прозрачный прокси не прокатит, т.к. не будет посылаться autentification required.
Как глупый и простой вариант - каким-нибудь "тюнером, твикером" для виндов на клиентах спрячь вкладку "connections", чтоб не смогли снять галку с прокси сервера.

  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру