форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы Настройка Squid и других прокси серверов (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Открытый и анонимный прокси, как от этого избавиться"
Сообщение от SanSanych on 18-Дек-02, 17:50  (MSK)
При попытки выйти на Яндекс у меня вылезло такое сообщение: К сожалению, этот прокси-сервер является "открытым" и "анонимным", то есть любой пользователь интернета может им воспользоваться совершенно безответственно. Мы вынуждены запретить доступ через такие прокси-сервера, потому что они широко используются для атак на нас. Прокси работает под FreeBsd, где чего надо поменять, чтобы он перестал быть открытым??? И как так получилось что он им стал?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: Открытый и анонимный прокси, как от этого избавиться"
Сообщение от iiws on 19-Дек-02, 13:56  (MSK)
>При попытки выйти на Яндекс у меня вылезло такое сообщение: > >К сожалению, этот прокси-сервер является "открытым" и "анонимным", то есть любой пользователь >интернета может им воспользоваться совершенно безответственно. Мы вынуждены запретить доступ через >такие прокси-сервера, потому что они широко используются для атак на нас. > > >Прокси работает под FreeBsd, где чего надо поменять, чтобы он перестал быть >открытым??? И как так получилось что он им стал? это значит что твой сквид позволяет всем себя использовать .(по умолчанию все открыто) смотри настройки конфига и пропиши доступ только твоей локальной сети acl all src 0.0.0.0/0.0.0.0 acl inet_users src  10.131.2.0/255.255.255.0 ...                 ^^^^^^^^^^ твоя сетка http_access allow inet_users http_access deny all поставь сначала это и проверь свой яндекс
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "RE: Открытый и анонимный прокси, как от этого избавиться"
	Сообщение от Squid on 28-Дек-02, 21:54  (MSK)
	Это диагноз... Если ты попал в список Анонимных проксей, о тебе поможет только смена IP, а возможно и сетки. Не забудь http_access выдать только своей сетке (это на будущее). ./squid
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "RE: Открытый и анонимный прокси, как от этого избавиться"
	Сообщение от Tathagatha on 29-Дек-02, 14:15  (MSK)
	>Это диагноз... >Если ты попал в список Анонимных проксей, о тебе поможет только смена >IP, а возможно и сетки. >Не забудь http_access выдать только своей сетке (это на будущее). > >./squid возможно достаточно будет сделать только то, что предлагалось в предыдущем посте, т.к. открытый прокси - это тот, который предоставляет доступ для всех , а анонимный - который не хранит информацию (и не предоставляет ее другим) о пользователе. вот и все, а смена IP - это глупости :)))
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "RE: Открытый и анонимный прокси, как от этого избавиться"
	Сообщение от Squid on 29-Дек-02, 14:37  (MSK)
	>вот и все, а смена IP - это глупости :))) Позволю себе не согласится :) Вопрос: Каким образом удалённый хост знает что пользователь ходит через открытый прокси сервер? Ответ: Вариантов только ДВА!!! 1) СТАТИЧЕСКМЙ :: Сравнивать src_addr со списком адрессов открытых проксей 2) ДИНАМИЧЕСКИЙ :: Проверять в "online" доступна ли прокся из вне А теперь рассомтрим по подробнее реализацию обоих вариантов. Относительно первого - все просто, в httpd_conf в deny заливается список IP адрессов и при совпадении генерится нужный отлуп. Дешево и сердито. Второй вариант - чтобы проверить является ли прокся открытой первым делом нужно выяснить на какой порт она отвечает, а вариантов тут масса (80,88,3128,3129,8000,8080,8888 - это только стандартные). То есть - надо попробовать "зателнетится" по всем перечесленным портам. После определения порта прокси нужно проверить а открыта ли она, для этого надо ей GET послать и спросить че-нить из мира. Учитывая тот факт - что шаровые прокси обычно очень тормознутые, то несложно посчитать, что для выяснения - является ли прокси шаровым или нет необходимо по меньшей мере минуты 3.   Дальше - хуже, представьте себе как нагнется канал - если на каждый приходящий "новый IP" запускать глюкавый скриптец - который будет пытаться приконектится к хосту по десятку портов? Если на сайт попадает больше 200 "уникальных" IP в день - то все умрет :) И я очень сильно сомневаюсь что на сайте просят подождать минуты 3 - пока они раздуплятся - с шаровой прокси к ним пришли или нет. ИТОГО - можно гарантировано утверждать - что люди используют именно СТАТИЧЕСКИЙ вариант. Ну а теперь вернемся собственно к вопросу: Ввверху советовали как закрыть доступ из вне к своей проксе. Это все понятно. Но если уже прокся попала в список анонимных - то никто её уже оттуда не вычернет, в ближайшие пол-года точно :)) Кроме смены IP я не вижу ни одного здравого решения. Уважаемый Tathagatha, хотелось бы услышать Ваш более расширеный коментарий к фразе "смена IP - это глупости". -- ./squid
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "RE: Открытый и анонимный прокси, как от этого избавиться"
	Сообщение от junior on 29-Дек-02, 16:16  (MSK)
	Возможно я и неверно скажу, но проверить стоит. Есть ещё один вариант, почему могут обрезать - это запрет на передачу определённых заголовков в запросах. Так называемая anonymize_header секция. Если там выставлен paranoid - режим обрезания заголовков, то он так же может считаться "неблагонадёжным и анонимно-гаТким" :)) Не плохо было бы проверить и этот вариант. Ведь включить в скрипт проверки наличие определённых заголовков - не составляет проблемы.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "RE: Открытый и анонимный прокси, как от этого избавиться"
Сообщение от Goodvin on 30-Дек-02, 12:29  (MSK)
>При попытки выйти на Яндекс у меня вылезло такое сообщение: > >К сожалению, этот прокси-сервер является "открытым" и "анонимным", то есть любой пользователь >интернета может им воспользоваться совершенно безответственно. Мы вынуждены запретить доступ через >такие прокси-сервера, потому что они широко используются для атак на нас. > > >Прокси работает под FreeBsd, где чего надо поменять, чтобы он перестал быть >открытым??? И как так получилось что он им стал? некоторое время назад мне пришло подобное письмо от провайдера, сообщающее об открытости моего сквида, что в корне противоречит договору. Грозились даже отключить нас от интернету, если это не будет прикрыто.... Покопавшись немного в faq'ах, было выяснено, что в директиве LISTEN можно указывать интерфейс, который сквидом будет прослушиваться... В результате в squid.conf было написано Listen 192.168.1.1:3128 и nmap -sT мой_внешний_ип перестал показывать искомый порт 3128... А в техподдержку Яндекса отправь письмо с сообщением о закрытости своей прокси. И все будет -- там тоже люди работают :)
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "RE: Открытый и анонимный прокси, как от этого избавиться"
	Сообщение от junior on 30-Дек-02, 13:14  (MSK)
	Покопавшись немного в faq'ах, >было выяснено, что в директиве LISTEN можно указывать интерфейс, который сквидом >будет прослушиваться... В результате в squid.conf было написано >Listen 192.168.1.1:3128 Всё это указывается в ПЕРВОЙ :)) строчке конфига http_port 192.168.1.1:3128 И всё. Ваш Squid висит только в локале :))) >и nmap -sT мой_внешний_ип перестал показывать искомый порт 3128... Можете проверить хоть nmap -P0 -F -O <you_external_ip> -vv :)) Всех С Новым Годом!!!
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.