Имеем бордер в конфигурации: внутри немаршрутизируемая сеть, наружу только прокси, ната нет, т.е. весь доступ (ну кроме https) логируется.
А еще имеем продвинутых негодяев, которые тунелируют через проксю то что им нужно, скажем smtp, pop, icq и пр.
делается это с помощью софты отсюда http://www.htthost.com/
Вопрос: как с ними побороться? Т.е. кончно задача не есть параноидальная(т.е. типа все под контролем) просто наличие всяких icq и пр мейлеров типа аутлука требуется изничтожить.
подскажите как бороться (вопрос по BM)
Сообщений: 6
• Страница 1 из 1
подскажите как бороться (вопрос по BM)
alexp_mac » 25 фев 2006, 23:07
- alexp_mac
- Сообщения: 788
- Зарегистрирован: 28 июн 2002, 10:50
Владимир Горяев » 26 фев 2006, 01:44
Не разрешать метод CONNECT. См. proxy.cfg. Там для тунелинга, если надо, можно отдельные порты задать, есть и лог для тунеля, правда туды у меня не все валится, толи руки кривые, то ли не дайдут никак....
Вроде так.
И еще ...ПРАВИЛА.
Вроде так.
И еще ...ПРАВИЛА.
Бардак автоматизировать невозможно!!!
_________________
_________________
-
Владимир Горяев - Сообщения: 3473
- Зарегистрирован: 05 июн 2002, 13:37
- Откуда: Смоленск
Re: подскажите как бороться (вопрос по BM)
Dimerson » 26 фев 2006, 06:20
Алексей Подгорчук писал(а):Имеем бордер в конфигурации: внутри немаршрутизируемая сеть, наружу только прокси, ната нет, т.е. весь доступ (ну кроме https) логируется.
А еще имеем продвинутых негодяев, которые тунелируют через проксю то что им нужно, скажем smtp, pop, icq и пр.
делается это с помощью софты отсюда http://www.htthost.com/
Вопрос: как с ними побороться? Т.е. кончно задача не есть параноидальная(т.е. типа все под контролем) просто наличие всяких icq и пр мейлеров типа аутлука требуется изничтожить.
У Craig Johnson есть конфиг BM сервера. В нем разрешен коннект только на 443 порт и все. Думаю этого вам хватит.
...
[Tunneling]
; this entry allows you to control the ports being tunneled.
; Set the value to 1 to enable control, 0 to disable it.
; You will have to add port number entries for any non-standard port
; number used in HTTPS URL's to make them work through proxy if this
; feature is enabled. This feature definitely affects transparent
; proxy ability to tunnel HTTPS.
; If =1, and you try to connect using HTTPS to a port other than
; 443, as in NRM for instance (port 8009), you will get an
; error message in the browser.
EnableTunnelingControl=1
; this entry allows you to log denied tunneling requests to
; sys:\etc\proxy\tunnel.log. =0 disables logging, =1 enables it.
EnableTunnelingControlLog=0
[HttpTunnelingAllowed]
; the example entries below allow ports 443, 444 (often specified
; for SSL Proxy Authenticaiton, 8009 (for NRM), 2200 (Apache Web Manager
; and 52443 (for iFolder) to be tunneled. Port 443 is enabled by default.
;port<x>=<port #>
port1=8009
port2=52443
port3=2200
port4=444
.....
В вышеприведенном примере разрешен коннект к портам :
port1=8009
port2=52443
port3=2200
port4=444
и 443 by default.
-
Dimerson - Сообщения: 2966
- Зарегистрирован: 15 сен 2002, 14:39
- Откуда: Регион 70
Владимир Горяев » 26 фев 2006, 07:20
И еще ... там с какой-то версии proxy.nlm вся штука ....
Бардак автоматизировать невозможно!!!
_________________
_________________
-
Владимир Горяев - Сообщения: 3473
- Зарегистрирован: 05 июн 2002, 13:37
- Откуда: Смоленск
Re: подскажите как бороться (вопрос по BM)
alexp_mac » 26 фев 2006, 13:35
[quote="Dimerson"][quote="Алексей Подгорчук"]Имеем бордер в конфигурации: внутри немаршрутизируемая сеть, наружу только прокси, ната нет, т.е. весь доступ (ну кроме https) логируется.
А еще имеем продвинутых негодяев, которые тунелируют через проксю то что им нужно, скажем smtp, pop, icq и пр.
делается это с помощью софты отсюда http://www.htthost.com/
Вопрос: как с ними побороться? Т.е. кончно задача не есть параноидальная(т.е. типа все под контролем) просто наличие всяких icq и пр мейлеров типа аутлука требуется изничтожить.[/quote]
У Craig Johnson есть конфиг BM сервера. В нем разрешен коннект только на 443 порт и все. Думаю этого вам хватит.
...
[Tunneling]
; this entry allows you to control the ports being tunneled.
; Set the value to 1 to enable control, 0 to disable it.
; You will have to add port number entries for any non-standard port
; number used in HTTPS URL's to make them work through proxy if this
; feature is enabled. This feature definitely affects transparent
; proxy ability to tunnel HTTPS.
; If =1, and you try to connect using HTTPS to a port other than
; 443, as in NRM for instance (port 8009), you will get an
; error message in the browser.
EnableTunnelingControl=1
; this entry allows you to log denied tunneling requests to
; sys:\etc\proxy\tunnel.log. =0 disables logging, =1 enables it.
EnableTunnelingControlLog=0
[HttpTunnelingAllowed]
; the example entries below allow ports 443, 444 (often specified
; for SSL Proxy Authenticaiton, 8009 (for NRM), 2200 (Apache Web Manager
; and 52443 (for iFolder) to be tunneled. Port 443 is enabled by default.
;port<x>=<port #>
port1=8009
port2=52443
port3=2200
port4=444
.....
В вышеприведенном примере разрешен коннект к портам :
port1=8009
port2=52443
port3=2200
port4=444
и 443 by default.[/quote]
Ну у меня в конфиге тоже самое. Только включил контрол лог.
Жаль 443 нельзя закрыть...
Кстати, логирование SSL коннектов нормально у кого-нибудь работает или нет?
А еще имеем продвинутых негодяев, которые тунелируют через проксю то что им нужно, скажем smtp, pop, icq и пр.
делается это с помощью софты отсюда http://www.htthost.com/
Вопрос: как с ними побороться? Т.е. кончно задача не есть параноидальная(т.е. типа все под контролем) просто наличие всяких icq и пр мейлеров типа аутлука требуется изничтожить.[/quote]
У Craig Johnson есть конфиг BM сервера. В нем разрешен коннект только на 443 порт и все. Думаю этого вам хватит.
...
[Tunneling]
; this entry allows you to control the ports being tunneled.
; Set the value to 1 to enable control, 0 to disable it.
; You will have to add port number entries for any non-standard port
; number used in HTTPS URL's to make them work through proxy if this
; feature is enabled. This feature definitely affects transparent
; proxy ability to tunnel HTTPS.
; If =1, and you try to connect using HTTPS to a port other than
; 443, as in NRM for instance (port 8009), you will get an
; error message in the browser.
EnableTunnelingControl=1
; this entry allows you to log denied tunneling requests to
; sys:\etc\proxy\tunnel.log. =0 disables logging, =1 enables it.
EnableTunnelingControlLog=0
[HttpTunnelingAllowed]
; the example entries below allow ports 443, 444 (often specified
; for SSL Proxy Authenticaiton, 8009 (for NRM), 2200 (Apache Web Manager
; and 52443 (for iFolder) to be tunneled. Port 443 is enabled by default.
;port<x>=<port #>
port1=8009
port2=52443
port3=2200
port4=444
.....
В вышеприведенном примере разрешен коннект к портам :
port1=8009
port2=52443
port3=2200
port4=444
и 443 by default.[/quote]
Ну у меня в конфиге тоже самое. Только включил контрол лог.
Жаль 443 нельзя закрыть...
Кстати, логирование SSL коннектов нормально у кого-нибудь работает или нет?
- alexp_mac
- Сообщения: 788
- Зарегистрирован: 28 июн 2002, 10:50
Сообщений: 6
• Страница 1 из 1
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 7