Софт для перенаправления трафика на определённый порт

IvanOFF · 15-03-11 10:27:28

nixadmin пишет:

HTTPS должен работать нормально, если прокси прописать в браузере. Он не работает с прозрачным прокси.

А кто его на прозрачный прокси заворачивает? 443 идет напрямую, 80, 8080 и т.п. HTTP порты прозрачно заворачиваются на прокси, HTTPS через прокси верный способ хапнуть себе головняка, особенно если прокси каскадом.

kenzzzooo пишет:

про сканер, подключаемый в разрыв клавиатуры, в корне не согласен smile драйвер там вообще не нужен, достаточно 1с++

Про 1С++ не скажу, не работали, в свое время руки не дошли, теперь уже неактуально, 8.2 на дворе. Да и у многих ли 1С++ и всем ли хватит тяму его прикрутить? А вообще в АТОЛовских дровах много вкусного, если хорошо поискать то можно найти бесплатную версию (до середины 2009 года они шли бесплатно), ведь никто же не заставляет брать последнюю версию дров wink , хотя цена вполне вменяема, особенно если кроме сканера ШК требуется подключать другое торговое оборудование.

nixadmin · 15-03-11 13:50:16

IvanOFF пишет:

HTTPS через прокси верный способ хапнуть себе головняка, особенно если прокси каскадом.

Ни разу не пробовал юзать HTTPS через цепочку прокси, думаю не заработает.
А с одним прокси (Squid) работало нормально, единственное неудобство - надо руками прописывать на клиенте. Прозрачно не завернёшь.

petrun · 15-03-11 16:43:33

IvanOFF
Ну и я про что? HTTPS что, фильтровать не надо? Даже википедию так читать можно.

IvanOFF · 15-03-11 19:48:37

petrun пишет:

Ну и я про что? HTTPS что, фильтровать не надо? Даже википедию так читать можно.

Как??? Наберите в браузере ru.wikipedia.org/ или yandex.ru и посмотрите что будет. HTTPS вообще нет смысла заворачивать на прокси, это отдельный протокол с весьма специфичным применением, лучше всего его пускать напрямую через NAT. Также я не вижу смысла его фильтровать, так как никаких массовых и развлекательных ресурсов через него не работает.

petrun · 15-03-11 19:54:32

IvanOFF
secure.wikimedia.org/wikipedia/en/wiki/Main_Page
И таких ресурсов много.

IvanOFF пишет:

HTTPS вообще нет смысла заворачивать на прокси, это отдельный протокол с весьма специфичным применением, лучше всего его пускать напрямую через NAT.

Ну оно и понятно - прозрачные прокси со стороны выглядят как атака "человек посередине".

IvanOFF · 15-03-11 20:21:56

petrun пишет:

И таких ресурсов много.

Давайте продолжим список, потом посмотрим, что там криминального.

Добавлено спустя 02 мин 53 с:

petrun пишет:

Ну оно и понятно - прозрачные прокси со стороны выглядят как атака "человек посередине".

Поэтому и думайте, что вам надо, чтобы работал HTTPS или тотально все фильтровалось. На мой взгляд, лучшим вариантом будет разрешить HTTPS только тем, кому он нужен через iptables и не заниматься глупостями, даже завернув HTTPS на прокси фильтровать вы его все равно не сможете, иначе какой тогда смысл в шифрованном соединении, если его содержимое доступно любому посреднику в цепочке.

petrun · 15-03-11 20:35:53

IvanOFF пишет:

Давайте продолжим список, потом посмотрим, что там криминального.

www.eff.org/https-everywhere

IvanOFF пишет:

, даже завернув HTTPS на прокси фильтровать вы его все равно не сможете, иначе какой тогда смысл в шифрованном соединении, если его содержимое доступно любому посреднику в цепочке.

Фильровать нет. А вот тупо запретить соединяться с опредленными узлами вполне.

pavel2403 · 15-03-11 21:51:01

Троллейбус FreeCap спасет отца русской демократии, это шлюз-соксификатор.freecap.ru/?p=whatis

IvanOFF · 15-03-11 22:22:34

petrun, тут соглашусь, есть такой момент. Однако мы опять таки упираемся в саму суть HTTPS, которая оставляет два варианта: запретить HTTPS или оставить его как есть. Фильтровать то, что передается по этому протоколу все равно не получится.

Автомототроллер · 15-03-11 22:28:32

Да навряд ли есть смысл фильтровать https. Что-то я не припомню порнухи или какой-то подобной хрени на https. Хотя, может быть, я и ошибаюсь.

pavel2403 пишет:

Троллейбус FreeCap спасет отца русской демократии, это шлюз-соксификатор.http://freecap.ru/?p=whatis

Пашок, большое спасибо за совет, но я уже на сервере средствами iptables завернул трафик с компьютера сына. Всё работает. А трафик с моего компьютера и компа жены идёт напрямую.
Кстати, сервер также напрямую качает торренты. В общем, получился достаточно дифференцированный подход. Так, кстати, удобнее "на лету" менять время ограничений — нет нужды отдельно изменять в Винде и отдельно для Arch'а. Приделал в своём ноуте в меню кноппачку на изменение ограничений по времени на сервере, просто нажимаю её, ввожу пароль, и всё: останавливается DG, потом Squid, изменяется разрешённое время интернета, потом запускается Squid и DG с новыми параметрами. На всё про всё — один простенький скрипт.
Как это мне сразу в голову не пришло, что iptables умеет заворачивать конкретный ip-адрес! Верно говорят: век живи, — век учись! ...дураком помрёшь smile

Отредактировано Автомототроллер (15-03-11 22:31:57)

IvanOFF · 15-03-11 22:34:31

Автомототроллер пишет:

Да навряд ли есть смысл фильтровать https.

Да вы его и неотфильтруете, в этом весь смысл HTTPS, трафик в зашифрованном виде проходит все участки от сервера до браузера клиента.

Автомототроллер · 15-03-11 22:36:10

IvanOFF пишет:

Да вы его и неотфильтруете, в этом весь смысл HTTPS, трафик в зашифрованном виде проходит все участки от сервера до браузера клиента.

Да, я прочитал выше, понял. Можно блокировать, но не вижу особой необходимости.

IvanOFF · 15-03-11 22:37:28

Автомототроллер пишет:

Как это мне сразу в голову не пришло, что iptables умеет заворачивать конкретный ip-адрес!

Я бы сделал наоборот, завернул весь диапазон, кроме ваших с женой адресов, а то мало-ли... В подобных ситуациях лучше использовать схему "все что не разрешено - запрещено".

Автомототроллер · 15-03-11 22:43:47

IvanOFF пишет:

Я бы сделал наоборот, завернул весь диапазон, кроме ваших с женой адресов, а то мало-ли... В подобных ситуациях лучше использовать схему "все что не разрешено - запрещено".

А у меня на сервере всего три IP разрешено в /etc/hosts.allow, а все остальные запрещены в /etc/hosts.deny. Думаю, для домашней сети этого достаточно?

IvanOFF · 15-03-11 22:48:29

Для домашней да, я по привычке большими масштабами оперирую, в корпоративных сетях чем меньше пишешь руками тем лучше.

Автомототроллер · 15-03-11 22:50:07

IvanOFF пишет:

Для домашней да, я по привычке большими масштабами оперирую, в корпоративных сетях чем меньше пишешь руками тем лучше.

Конечно smile Когда полторы-две сотни или тысячи (!) машин, замучаешься все IP прописывать. А для трёх проще указать конкретно, какие IP разрешены, а остальные запретить нафиг. Масштабы разные.

pavel2403 · 15-03-11 23:21:27

Автомототроллер пишет:

Конечно Когда полторы-две сотни или тысячи (!) машин, замучаешься все IP прописывать. А для трёх проще указать

Эх... линух-way! Троллейбус, есть куча проксиков с авторизацией в домене и с импортом учеток с контроллера домена, один раз прописал для домена, а потом только выбирай из списка и крути им что хочешь. И первый в этом деле МС ISA Server 2004/ Но это домен Windows!!! Луноходам пока о таком удобстве можно только мечтать!!!

Отредактировано pavel2403 (15-03-11 23:21:50)

IvanOFF · 16-03-11 00:16:47

pavel2403 пишет:

И первый в этом деле МС ISA Server 2004/ Но это домен Windows!!!

ISA давно прокис, сейчас вместо него TMG, но дорогой, зараза. Для небольших сетей слишком дорогое удовольствие, туда берут что попроще: TI, UG или тот-же Squid, к которому при прямых руках AD авторизация тоже привязывается.

Автомототроллер · 16-03-11 08:39:09

Пашок, ну ты и в самом деле зациклен! Я, когда Squid настраивал, находил в инете ссылки, подобные вот этой в блоге IvanOFF'а о том, как настроить авторизацию в Squid. И даже хотел, чисто ради интереса, прикрутить эту самую авторизацию. А потом подумал: а нафига козе баян? Нафига мне в домашней сети лишние авторизации, если я могу всё настроить так, чтобы не морочить себе мосХ при использовании прозрачного прокси? Не говоря уже о том, что нафига мне лишние затраты, если всё можно сделать бесплатно?

IvanOFF пишет:

UG

Улыбнуло smile

wr224 · 16-03-11 09:11:21

nixadmin пишет:

Ни разу не пробовал юзать HTTPS через цепочку прокси, думаю не заработает.

Естественно, для этого нужно организовать передачу сертификатов, даже апач реверс прокси помнится не завелся, когда нужно было сделать цепочку https->https, не нашел как там делается

nixadmin · 16-03-11 10:12:45

pavel2403 пишет:

Эх... линух-way! Троллейбус, есть куча проксиков с авторизацией в домене и с импортом учеток с контроллера домена, один раз прописал для домена, а потом только выбирай из списка и крути им что хочешь.

Интересно, какие мощности нужны что бы проксировать несколько тысячь работающих хостов?
Откройте для себя биллинговые системы с LDAP-авторизацией, и управлением сетью через RADIUS.

pavel2403 пишет:

И первый в этом деле МС ISA Server 2004/ Но это домен Windows!!! Луноходам пока о таком удобстве можно только мечтать!!!

Сколько восклицательных знаков smile Невольно закрадываются мысли о фанатичной преданности МС.
А может Вы мне раскажети, какие мощности потребляет ISA, управляя и учитывая доступ к 10ГБитному аплинку, хотябы пары тысяч клиентских узлов?
В чём приимущества ISA по с равнению с решениямия того же NetUP или IDESCO?

Для средних сетей - какой экономический смысл ISA? Когда есть бесплатные биллинговые решения типа abills или stargazer (тоже интегрируются в AD посредствам LDAP).

Ну и для самых маленьких - Squid в неконкуренции smile

IvanOFF · 16-03-11 14:41:43

Господа, вы снова валите все в одну кучу. Не надо путать корпоративный прокси и биллинг, это принципиально разные вещи. Биллинговые системы требуются провайдерам и иже с ними (например админам офисных центров и т.п.). В корпоративной среде биллинг как корове седло, там более актуально кэширование и фильтрация получаемого контента.

nixadmin пишет:

Интересно, какие мощности нужны что бы проксировать несколько тысячь работающих хостов?

Хорошие мощности нужны, но это того стоит, обычно в корпоративных сетях из кэша отдается до 30-40% траффика, еще 15-20% экономится за счет блокировки баннеров и т.п. херни. В итоге корпоративный прокси позволяет примерно вдвое снизить нагрузку на канал, для крупных организаций это весьма ощутимый плюс.

Что касается софта, то TMG выходит на первый план для сетей с сотней ПК и более, там это становится экономически выгодно. В меньших сетях смысла тратиться на него нет, там в зависимости от задач и квалификации админа используются либо открытые решения, либо недорогие прокси типа Траффик Инспектора или ЮзерГейта.

Форум StopLinux

Объявление

#26 15-03-11 10:27:28

Re: Софт для перенаправления трафика на определённый порт

#27 15-03-11 13:50:16

Re: Софт для перенаправления трафика на определённый порт

#28 15-03-11 16:43:33

Re: Софт для перенаправления трафика на определённый порт

#29 15-03-11 19:48:37

Re: Софт для перенаправления трафика на определённый порт

#30 15-03-11 19:54:32

Re: Софт для перенаправления трафика на определённый порт

#31 15-03-11 20:21:56

Re: Софт для перенаправления трафика на определённый порт

#32 15-03-11 20:35:53

Re: Софт для перенаправления трафика на определённый порт

#33 15-03-11 21:51:01

Re: Софт для перенаправления трафика на определённый порт

#34 15-03-11 22:22:34

Re: Софт для перенаправления трафика на определённый порт

#35 15-03-11 22:28:32

Re: Софт для перенаправления трафика на определённый порт

#36 15-03-11 22:34:31

Re: Софт для перенаправления трафика на определённый порт

#37 15-03-11 22:36:10

Re: Софт для перенаправления трафика на определённый порт

#38 15-03-11 22:37:28

Re: Софт для перенаправления трафика на определённый порт

#39 15-03-11 22:43:47

Re: Софт для перенаправления трафика на определённый порт

#40 15-03-11 22:48:29

Re: Софт для перенаправления трафика на определённый порт

#41 15-03-11 22:50:07

Re: Софт для перенаправления трафика на определённый порт

#42 15-03-11 23:21:27

Re: Софт для перенаправления трафика на определённый порт

#43 16-03-11 00:16:47

Re: Софт для перенаправления трафика на определённый порт

#44 16-03-11 08:39:09

Re: Софт для перенаправления трафика на определённый порт

#45 16-03-11 09:11:21

Re: Софт для перенаправления трафика на определённый порт

#46 16-03-11 10:12:45

Re: Софт для перенаправления трафика на определённый порт

#47 16-03-11 14:41:43

Re: Софт для перенаправления трафика на определённый порт

Подвал форума