forum.opennet.ru - "Обход ACL squid через роутер" (5)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Обход ACL squid через роутер"

Форум Настройка Squid и других прокси серверов (ACL, блокировки)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Обход ACL squid через роутер"	+/–
Сообщение от shadoow (ok) on 18-Янв-12, 23:08
Доброго времени суток! Возникла следующая проблемка. Админю сетку из 80 машин в одном учреждении, и всё бы было хорошо,но появился добрый человек и вооткнул wi-fi роутер в локалку. Инетрнет раздается squidom на ubunte 9.10 стоит контроль доступа по ip. Роутеру этот "добрый дядя" дал адрес компьютера, которому был разрешен выход в сеть. И теперь куча личных ноутбуков через эту точку ходит в интернет. Физически отключить точку нет возможности, этот человек очень близкий друг директора... Извиняюсь конечно за непонятное описание проблемы, сам недавно столкнулся с *nix. Есть мысль попытаться ограничить количество сессий для этого адреса,но не совсем уверен что возъимеет должный эффект,может что посоветуете ? заранее спасибо)
Ответить \| Правка \| Cообщить модератору

Оглавление

Обход ACL squid через роутер, reader, 00:05 , 19-Янв-12, (1)

Обход ACL squid через роутер, shadoow, 16:10 , 21-Янв-12, (5)

Обход ACL squid через роутер, DeadLoco, 03:38 , 19-Янв-12, (2)

Обход ACL squid через роутер, shadoow, 16:08 , 21-Янв-12, (4)

Обход ACL squid через роутер, ipmanyak, 10:42 , 19-Янв-12, (3)

Сообщения по теме [Сортировка по времени | RSS]

1. "Обход ACL squid через роутер" +/–

Сообщение от reader (ok) on 19-Янв-12, 00:05

> Доброго времени суток! Возникла следующая проблемка. Админю сетку из 80 машин в
> одном учреждении, и всё бы было хорошо,но появился добрый человек и
> вооткнул wi-fi роутер в локалку. Инетрнет раздается squidom на ubunte 9.10
> стоит контроль доступа по ip. Роутеру этот "добрый дядя" дал адрес
> компьютера, которому был разрешен выход в сеть. И теперь куча личных
> ноутбуков через эту точку ходит в интернет. Физически отключить точку нет
> возможности, этот человек очень близкий друг директора... Извиняюсь конечно за непонятное
> описание проблемы, сам недавно столкнулся с *nix. Есть мысль попытаться ограничить
> количество сессий для этого адреса,но не совсем уверен что возъимеет должный
> эффект,может что посоветуете ? заранее спасибо)
можно сессии, можно delay_pools в squid, можно ограничить на интерфейсе , но в любом случае докладную директору и потом когда директор спросит про трафик, напомнить про докладную

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Обход ACL squid через роутер" +/–

Сообщение от shadoow (ok) on 21-Янв-12, 16:10

Спасибо за советы, попробую сессии обрезать, если не изменяет память, что бы пулами баловаться сквид нужно с ключом определенным собирать, а этого прошлый админ не делал. Пересобрать что то побаиваюсь пока)

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Обход ACL squid через роутер" +/–

Сообщение от DeadLoco (ok) on 19-Янв-12, 03:38

> Есть мысль попытаться ограничить количество сессий для этого адреса,
> но не совсем уверен что возъимеет должный эффект, может что посоветуете?
Еще как возымеет. Ограничение количества сессий - самое лучшее, если не единственное средство борьбы с паразитными проксями.

acl IMPUDENCE   maxconn 5
acl WTF src 192.168.1.100/32 # адрес роутера
. . .
http_access deny WTF IMPUDENCE

Пяти сессий еще туда-сюда для пользования в одно личико, но уже втроем они осатанеют от лагов, таймаутов и прочего.
Ну, и бамажку главному, мол, так и так, не корысти ради, а токмо заради секурности в неконтролируемом сегменте сети...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Обход ACL squid через роутер" +/–

Сообщение от shadoow (ok) on 21-Янв-12, 16:08

>[оверквотинг удален]
>

> acl IMPUDENCE   maxconn 5
> acl WTF src 192.168.1.100/32 # адрес роутера
> . . .
> http_access deny WTF IMPUDENCE
>

> Пяти сессий еще туда-сюда для пользования в одно личико, но уже втроем
> они осатанеют от лагов, таймаутов и прочего.
> Ну, и бамажку главному, мол, так и так, не корысти ради, а
> токмо заради секурности в неконтролируемом сегменте сети...
Спасибо! Сегодня подправил конфиг , теперь подожду логи пособираю )

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "Обход ACL squid через роутер" +/–

Сообщение от ipmanyak (ok) on 19-Янв-12, 10:42

как уже сказал reader, можно сессии, можно delay_pools. Последнее тоже эффективно, если зарезать скорость на 5-6 кбит/сек. Пусть сидят толпой  типа на аналоговом модеме.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Обход ACL squid через роутер"	+/–
Сообщение от reader (ok) on 19-Янв-12, 00:05
> Доброго времени суток! Возникла следующая проблемка. Админю сетку из 80 машин в > одном учреждении, и всё бы было хорошо,но появился добрый человек и > вооткнул wi-fi роутер в локалку. Инетрнет раздается squidom на ubunte 9.10 > стоит контроль доступа по ip. Роутеру этот "добрый дядя" дал адрес > компьютера, которому был разрешен выход в сеть. И теперь куча личных > ноутбуков через эту точку ходит в интернет. Физически отключить точку нет > возможности, этот человек очень близкий друг директора... Извиняюсь конечно за непонятное > описание проблемы, сам недавно столкнулся с *nix. Есть мысль попытаться ограничить > количество сессий для этого адреса,но не совсем уверен что возъимеет должный > эффект,может что посоветуете ? заранее спасибо) можно сессии, можно delay_pools в squid, можно ограничить на интерфейсе , но в любом случае докладную директору и потом когда директор спросит про трафик, напомнить про докладную
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	5. "Обход ACL squid через роутер"	+/–
	Сообщение от shadoow (ok) on 21-Янв-12, 16:10
	Спасибо за советы, попробую сессии обрезать, если не изменяет память, что бы пулами баловаться сквид нужно с ключом определенным собирать, а этого прошлый админ не делал. Пересобрать что то побаиваюсь пока)
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору

2. "Обход ACL squid через роутер"	+/–
Сообщение от DeadLoco (ok) on 19-Янв-12, 03:38
> Есть мысль попытаться ограничить количество сессий для этого адреса, > но не совсем уверен что возъимеет должный эффект, может что посоветуете? Еще как возымеет. Ограничение количества сессий - самое лучшее, если не единственное средство борьбы с паразитными проксями. acl IMPUDENCE maxconn 5 acl WTF src 192.168.1.100/32 # адрес роутера . . . http_access deny WTF IMPUDENCE Пяти сессий еще туда-сюда для пользования в одно личико, но уже втроем они осатанеют от лагов, таймаутов и прочего. Ну, и бамажку главному, мол, так и так, не корысти ради, а токмо заради секурности в неконтролируемом сегменте сети...
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	4. "Обход ACL squid через роутер"	+/–
	Сообщение от shadoow (ok) on 21-Янв-12, 16:08
	>[оверквотинг удален] > > acl IMPUDENCE maxconn 5 > acl WTF src 192.168.1.100/32 # адрес роутера > . . . > http_access deny WTF IMPUDENCE > > Пяти сессий еще туда-сюда для пользования в одно личико, но уже втроем > они осатанеют от лагов, таймаутов и прочего. > Ну, и бамажку главному, мол, так и так, не корысти ради, а > токмо заради секурности в неконтролируемом сегменте сети... Спасибо! Сегодня подправил конфиг , теперь подожду логи пособираю )
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору

3. "Обход ACL squid через роутер"	+/–
Сообщение от ipmanyak (ok) on 19-Янв-12, 10:42
как уже сказал reader, можно сессии, можно delay_pools. Последнее тоже эффективно, если зарезать скорость на 5-6 кбит/сек. Пусть сидят толпой типа на аналоговом модеме.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору