omijanie ograniczen dzieki openproxy

Jacek Konieczny jajcus w bnet.pl
Pią, 20 Maj 2005, 09:58:15 CEST


On Fri, May 20, 2005 at 01:28:39AM +0200, Michal 'lipek' Lipka wrote:
> myałem o takim rozwiązaniu ale moje obawy budzi jedna rzecz (być może
> związana z niedostateczną znajomością tematu)
> jeśli użytkownik chce pobrać stronę www o adresie np 1.1.1.1 i ustawia w
> przeglądarce proxy o adresie 2.2.2.2 to ja na routerze "widzę" próbę
> połączenia do 2.2.2.2 (a nie do 1.1.1.1) w związku z tym przepuszczam ten
> ruch 

No właśnie. Czemu przepuszczasz ruch do niezaufanego hosta? Nic przecież
o 2.2.2.2 nie wiesz. Jedyny skuteczny sposób kontrolowania ruchu, to
zablokowania wszystkiego poza zaufanymi serwerami i usługami.

To oczywiście może być niepraktyczne, bo ludzie lubią mieć dostęp do
nieprzewidzianych przez administratora stron. W takim wypadku używasz
swojego proxy (na firewallu puszczasz ruch tylko na _zaufane_
hosty+porty i na swoje proxy), na proxy filtrować możesz według URL itp.
Oczywiście niegrzeczni użytkownicy, który i to obejdą, mogą się zdarzyć,
dlatego w proxy powinieneś mieć włączone uwierzytelnianie i logowanie
całego ruchu. Wtedy będziesz widział czy i kto nadużywa sieci i będzie
można wyciągnąć od niego konsekwencje.

"Firewalle" polegające na blokowaniu wybranych portów, czy hostów, to
tylko zabawka nie zapewniająca prawdziwego zabezpieczenia. Jednak
i to bywa czasem przydatne (robaki nie kombinują tak jak ludzie i można
je w ten sposób przycinać).

Pozdrowienia,
	Jacek



Więcej informacji o liście dyskusyjnej pld-users-pl