форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы Информационная безопасность (Public)
Изначальное сообщение		[Проследить за развитием треда]

"не могу больше обманывать юзеров!!! помогите!!"
Сообщение от Tanya on 10-Апр-02, 16:08  (MSK)
У меня сетка под вин2000, маршрутизатор под линух(там стоит прокси-Squid) если в Internet Explorere порписать "use proxy" и указать соответствующий порт 3128 на вкладке "connections" то все нормально -юзеры авторизуются (логин+пароль и все хорошо считается кто сколько накачал sarg'ом) но если отключить опцию использования прокси.. то просто они могут выходить в инет напрямую.. без учета и контроля!! можно как нибудь так сделать чтобы НЕЛЬЗЯ было по протоколу http подключаться минуя прокси? т.е просто запрещать все я не могу потому что мне еще как-то с почтой работать надо.. что делать?? подскажите пожалуйста!! просто я боюсь что какой нить юзер возьмет и прочухает что к чему.. если уже..
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: не могу больше обманывать юзеров!!! помогите!!"
Сообщение от alx on 10-Апр-02, 16:17  (MSK)
>У меня сетка под вин2000, маршрутизатор >под линух(там стоит прокси-Squid) > если в Internet Explorere порписать >"use proxy" и указать соответствующий >порт 3128 на вкладке "connections" >то все нормально -юзеры авторизуются >(логин+пароль и все хорошо считается >кто сколько накачал sarg'ом) >но если отключить опцию использования прокси.. >то просто они могут выходить >в инет напрямую.. без учета >и контроля!! >можно как нибудь так сделать чтобы >НЕЛЬЗЯ было по протоколу http >подключаться минуя прокси? > ipchains -P forward DENY >т.е просто запрещать все я не >могу >потому что мне еще как-то с >почтой работать надо.. > >что делать?? >подскажите пожалуйста!! >просто я боюсь что какой нить >юзер возьмет и прочухает что >к чему.. если уже..
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "RE: не могу больше обманывать юзеров!!! помогите!!"
	Сообщение от Tanya on 10-Апр-02, 16:27  (MSK)
	>>У меня сетка под вин2000, маршрутизатор >>под линух(там стоит прокси-Squid) >> если в Internet Explorere порписать >>"use proxy" и указать соответствующий >>порт 3128 на вкладке "connections" >>то все нормально -юзеры авторизуются >>(логин+пароль и все хорошо считается >>кто сколько накачал sarg'ом) >>но если отключить опцию использования прокси.. >>то просто они могут выходить >>в инет напрямую.. без учета >>и контроля!! >>можно как нибудь так сделать чтобы >>НЕЛЬЗЯ было по протоколу http >>подключаться минуя прокси? >> >ipchains -P forward DENY >>т.е просто запрещать все я не >>могу >>потому что мне еще как-то с >>почтой работать надо.. >> >>что делать?? >>подскажите пожалуйста!! >>просто я боюсь что какой нить >>юзер возьмет и прочухает что >>к чему.. если уже.. забыла сказать у меня ipfwadm а не ipchains и почту все равно надо оставить
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "RE: не могу больше обманывать юзеров!!! помогите!!"
	Сообщение от MF_FLIP on 11-Апр-02, 13:10  (MSK)
	squid.opennet.ru см. transparent proxy
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "RE: не могу больше обманывать юзеров!!! помогите!!"
	Сообщение от smooth on 12-Апр-02, 12:14  (MSK)
	>squid.opennet.ru > >см. transparent proxy всё достаточно просто в этом случае - надо просто резать файрволом 80 порт - http трафик и 443 - https на всёкий пожарный и всё номано по инету ходить не смогут - а почта работает так как работает по 25 порту - smtp и 110 - pop3 или что у вас там а на самом деле посаветовал бы закрыть всё что не нужно ввобще для секьюрности - нат обязательно поставить и внимательно за серваком следить
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "RE: не могу больше обманывать юзеров!!! помогите!!"
	Сообщение от MF_FLIP on 12-Апр-02, 13:09  (MSK)
	>>squid.opennet.ru >> >>см. transparent proxy > > >всё достаточно просто в этом случае >- надо просто резать файрволом >80 порт - http трафик > >и 443 - https на всёкий >пожарный ну если не в лом бегать по юзверям и прокси прописывать.... IMHO луше не резать, а заворачивать весь http(s) трафик файрволом на проксю. Посмотрите, жуже не будет :) squid.opennet.ru
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "RE: не могу больше обманывать юзеров!!! помогите!!"
	Сообщение от Sergey Vlasov on 12-Апр-02, 20:12  (MSK)
	В оригинальном вопросе было сказано, что используется авторизация - в этом случае transparent proxy не работает в принципе. Так что только резать. (Причем лучше зарезать все, а потом открыть, что попросят - например, порт 25 для отправки почты, 110 для приема по pop3 и т.п.; ICQ может работать через Squid по HTTPS).
		Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "RE: не могу больше обманывать юзеров!!! помогите!!"
Сообщение от chroot on 18-Апр-02, 02:25  (MSK)
>У меня сетка под вин2000, маршрутизатор >под линух(там стоит прокси-Squid) > если в Internet Explorere порписать >"use proxy" и указать соответствующий >порт 3128 на вкладке "connections" >то все нормально -юзеры авторизуются >(логин+пароль и все хорошо считается >кто сколько накачал sarg'ом) >но если отключить опцию использования прокси.. >то просто они могут выходить >в инет напрямую.. без учета >и контроля!! >можно как нибудь так сделать чтобы >НЕЛЬЗЯ было по протоколу http >подключаться минуя прокси? --------------------------------------------- сделай прозрачный прокси смотри тут на этом сайте про это много написано смотри ipfadm ipchain iptables > >т.е просто запрещать все я не >могу >потому что мне еще как-то с >почтой работать надо.. > >что делать?? >подскажите пожалуйста!! >просто я боюсь что какой нить >юзер возьмет и прочухает что >к чему.. если уже..
	Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "RE: не могу больше обманывать юзеров!!! помогите!!"
Сообщение от Samsonov on 04-Май-02, 16:26  (MSK)
Согласен с вариантами фильтрации траффика, транспарент прокси. В плане дополнения - в сети win2k (домен) неограниченные возможности по принудительной установке настроек (в т.ч. IE) и усечению прав пользователей. Все групповыми политиками.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "RE: не могу больше обманывать юзеров!!! помогите!!"
	Сообщение от kenzzo on 06-Май-02, 09:21  (MSK)
	всем большое спасиба я закрыла ipfwadm 80, 8080 итд вроде работает, открыла почтовые, default policy - deny и т.д. но!! Если я делаю сначала закрыть все а потом открыть то что надо то не работает подход к ДНС, то есть получается что порт и протокол которые используются для выхода на днс поэтому приходится все открывать и закрывать все очевидно а это опасно что делать-то?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "RE: не могу больше обманывать юзеров!!! помогите!!"
	Сообщение от Firewalker on 20-Май-02, 17:00  (MSK)
	так зделай allow для порта 53 !!
		Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "RE: не могу больше обманывать юзеров!!! помогите!!"
Сообщение от dawnshade on 15-Июн-02, 16:42  (MSK)
>У меня сетка под вин2000, маршрутизатор под линух(там стоит прокси-Squid) > если в Internet Explorere порписать "use proxy" и указать соответствующий порт >3128 на вкладке "connections" то все нормально -юзеры авторизуются (логин+пароль и >все хорошо считается кто сколько накачал sarg'ом) >но если отключить опцию использования прокси.. то просто они могут выходить в >инет напрямую.. без учета и контроля!! >можно как нибудь так сделать чтобы НЕЛЬЗЯ было по протоколу http подключаться >минуя прокси? > >т.е просто запрещать все я не могу >потому что мне еще как-то с почтой работать надо.. > >что делать?? >подскажите пожалуйста!! >просто я боюсь что какой нить юзер возьмет и прочухает что к >чему.. если уже.. Действительно прозрачный прокси не прокатит, т.к. не будет посылаться autentification required. Как глупый и простой вариант - каким-нибудь "тюнером, твикером" для виндов на клиентах спрячь вкладку "connections", чтоб не смогли снять галку с прокси сервера.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.