omijanie ograniczen dzieki openproxy
Michal 'lipek' Lipka
lipek w irc.pl
Pią, 20 Maj 2005, 14:33:26 CEST
On Fri, 20 May 2005, Jacek Konieczny wrote:
> On Fri, May 20, 2005 at 01:28:39AM +0200, Michal 'lipek' Lipka wrote:
> > myałem o takim rozwiązaniu ale moje obawy budzi jedna rzecz (być może
> > związana z niedostateczną znajomością tematu)
> > jeśli użytkownik chce pobrać stronę www o adresie np 1.1.1.1 i ustawia w
> > przeglądarce proxy o adresie 2.2.2.2 to ja na routerze "widzę" próbę
> > połączenia do 2.2.2.2 (a nie do 1.1.1.1) w związku z tym przepuszczam ten
> > ruch
>
> No właśnie. Czemu przepuszczasz ruch do niezaufanego hosta? Nic przecież
> o 2.2.2.2 nie wiesz. Jedyny skuteczny sposób kontrolowania ruchu, to
> zablokowania wszystkiego poza zaufanymi serwerami i usługami.
>
rozumiem że mam to traktować w kategoriach humorystycznych? :)
> To oczywiście może być niepraktyczne, bo ludzie lubią mieć dostęp do
> nieprzewidzianych przez administratora stron. W takim wypadku używasz
> swojego proxy (na firewallu puszczasz ruch tylko na _zaufane_
> hosty+porty i na swoje proxy), na proxy filtrować możesz według URL itp.
własnie próbowałem w nocy coś takiego zmontować.
przetestowałem tinyproxy i transproxy z poldka ale one nie wydają się być
dostatecznie dobre do tego rozwiązania.
czy możecie polecić jakiś serwer proxy który będzie umzoliwiał
wprowadzenie listy zakazanych IP i na podstawie tego co jest w nagłówku będzie
filtrował?
> "Firewalle" polegające na blokowaniu wybranych portów, czy hostów, to
> tylko zabawka nie zapewniająca prawdziwego zabezpieczenia. Jednak
> i to bywa czasem przydatne (robaki nie kombinują tak jak ludzie i można
> je w ten sposób przycinać).
>
cała zabawa nie jest jednak tak prosta ponieważ ruch do "zakazanych"
stronek podpadał pod regułki iptables. niektóre były wycinane ale innym
był tylko nadawany znaczek (-j MARK --set-mark) dzięki czemu przycinane
pasmo było aby użytkownicy mogli sobie oglądać ale nie zapychali zbytnio
łącza pobierając filmiki (np z funiaste.net)
tak więc wycinające proxy rozwiązuje problem tylko częściowo (najwyżej im
będę musiał puścić te częściowo dozwolone bez przycinania a te całkowicie
zabronione wyciąć na proxy)
pozdrawiam
--
Michał 'lipek' Lipka
Więcej informacji o liście dyskusyjnej pld-users-pl