Дырки в прозрачном проксе

0

0

Если на шлюзе локалки стоит прозрачный прокси и ним заблокировать определенный сайт а

юзверь у себя в браузере установит в настройках какуюто другую бесплатную проксю из

инета то он без проблем откроет этот сайт, поскольку во всех примерах что я перечитал прозрачное проксирование базируется на переадресации пакетов идущих на 80 порт tcp проксе. Как сделать чтобы юзера не могли обходить блокировку локальной прокси? Можно ли написать правило которое бы блокировало все пакеты которые идут от IE, Opera, Firefox? На каких портах они сидят? Есть ли какие-то другие варианты решения этой проблеммы?

Ссылка

←	Кто поможет FreeBSD попытка с VPN

tcpdump

→

iptables -A INPUT -p tcp --dport http -J REJECT
Если у тебя прокси слушает 80 порт, то тогда в правило надо добить "-d ! server_ip"

SlavikSS ★★
(06.07.06 16:26:02 MSD)

Ссылка

>Как сделать чтобы юзера не могли обходить блокировку локальной прокси?

Никак, это невозможно.

>Можно ли написать правило которое бы блокировало все пакеты которые идут от IE, Opera, Firefox?

нет.

>IE, Opera, Firefox? На каких портах они сидят?

Мощно задвинул :)) Но если бы эти приложения были серверами, то скорее всего,сидели бы на 80 порту :)

>Есть ли какие-то другие варианты решения этой проблеммы?

На бумаге запретить

fagot ★★★★★
(06.07.06 16:45:23 MSD)

Тут смотри - http://wiki.noreply.org/noreply/TheOnionRouter/SquidProxy

iptables -t nat -A PREROUTING -i <your_net_interface> -m layer7 --l7proto http -j REDIRECT --to-port <your_proxy_port>

MiracleMan ★★★★★
(06.07.06 17:29:20 MSD)

Ссылка

используй просто squidguard, у них довольно полный список халявных проксей. и не заморачивайся для решения этой проблемы с layer7, это из пушки по воробьям.

anonymous
(07.07.06 07:58:33 MSD)