REJIK

Плоьзователи начали устанавливать у себя хитрые программы
http://www.htthost.com/

она позволяет делать сетевое тунелирования и через мой проксик
тунелирует трафик на чужой прокси - у которого нету режика а следовательно и все фильтры идут лесом.

Вопрос как с этим боротся .

alex_x писал(а):Плоьзователи начали устанавливать у себя хитрые программы
http://www.htthost.com/

она позволяет делать сетевое тунелирования и через мой проксик
тунелирует трафик на чужой прокси - у которого нету режика а следовательно и все фильтры идут лесом.

Вопрос как с этим боротся .

1. Если туннель образуется при помощи метода CONNECT, то проблема решается, запретом метода connect (в сквиде) на произвольный порт.
acl SSL_ports port 443 563
http_access deny CONNECT !SSL_ports

2. Если туннелирование идет при помощи инкапсуляции протоколов, то блокированием отдельного сайта в режике.

hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY

#redirect_program /usr/local/rejik3/redirector /usr/local/rejik3/redirector.conf
#redirect_children 5

cache_mem 128 MB
pid_filename /usr/local/squid/logs/squid.pid

maximum_object_size 25000 KB
cache_dir ufs /usr/local/squid/cache 1024 16 256

emulate_httpd_log on

ftp_user squid@giprosvyaz-spb.ru
ftp_passive off

error_directory /usr/local/etc/squid/errors/Russian-1251

auth_param basic program /usr/local/libexec/squid/ncsa_auth /usr/local/etc/squid/auth/squpasswd
auth_param basic children 2
auth_param basic realm Internet
auth_param basic credentialsttl 2 hours
external_acl_type IP_USER %SRC %LOGIN /usr/local/libexec/squid/ip_user_check -f /usr/local/etc/squid/ip.txt

acl all src 0.0.0.0/0.0.0.0
acl officelist src "/usr/local/etc/squid/ip-hosts"
acl users proxy_auth /usr/local/etc/squid/login.txt
acl cool_man src "/usr/local/etc/squid/cool_man"
acl auth_user external IP_USER %SRC %LOGIN

acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563

#acl Safe_ports port 80 # http
#acl Safe_ports port 21 # ftp
#acl Safe_ports port 443 563 # https, snews
#acl Safe_ports port 70 # gopher
#acl Safe_ports port 210 # wais
#acl Safe_ports port 1025-65535 # unregistered ports
#acl Safe_ports port 280 # http-mgmt
#acl Safe_ports port 488 # gss-http
#acl Safe_ports port 591 # filemaker
#acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

http_access allow manager localhost
http_access allow cool_man
http_access allow officelist
http_access allow auth_user
http_access allow users
http_access deny manager
#http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny all

acl KAK urlpath_regex -i \.mpeg$ \.avi$ \.mpg$ \.waw$ \.mp3$ \.ogg$
delay_pools 1
delay_class 1 1
delay_access 1 allow officelist KAK
delay_access 1 deny all
delay_parameters 1 200/200 500/500

visible_hostname xxxxxxxxxxxx.ru
cache_effective_user squid
cache_effective_group squid


я уже запарился боротся с пользователями

В конфиге всё закрыл - сервер перезагрузил - но всёравно тунели работают
что делать ?

Туннели как организуются? при помощи CONNECT?
В acl я не силен, но может быть дело в порядке правил?
Вы сначала разрешаете доступ для юзверей, а потом блокируете метод connect

да метод именно коннект


cat /usr/local/squid/logs/access.log | grep .uu.net
192.168.0.28 - - [16/Aug/2005:10:23:10 +0400] "CONNECT nina.se.uu.net:3128 HTTP/1.0" 200 944 TCP_MISS:DIRECT
192.168.0.28 - - [16/Aug/2005:10:23:10 +0400] "CONNECT nina.se.uu.net:3128 HTTP/1.0" 200 17660 TCP_MISS:DIRECT
192.168.0.28 - - [16/Aug/2005:10:23:10 +0400] "CONNECT nina.se.uu.net:3128 HTTP/1.0" 200 39 TCP_MISS:DIRECT
192.168.0.28 - - [16/Aug/2005:10:23:10 +0400] "CONNECT nina.se.uu.net:3128 HTTP/1.0" 200 39 TCP_MISS:DIRECT
192.168.0.28 - - [16/Aug/2005:10:23:10 +0400] "CONNECT nina.se.uu.net:3128 HTTP/1.0" 200 39 TCP_MISS:DIRECT
192.168.0.28 - - [16/Aug/2005:10:23:25 +0400] "CONNECT nina.se.uu.net:3128 HTTP/1.0" 200 8099 TCP_MISS:DIRECT
192.168.0.28 - - [16/Aug/2005:10:24:25 +0400] "CONNECT nina.se.uu.net:3128 HTTP/1.0" 200 349 TCP_MISS:DIRECT