Можно ли блокировать прокси сервер? (конкретней внутри)
Забанить на маршрутизаторе весь траффик с и\или на ip этого проксика. Можно даже просто на один порт, на котором этот прокси поднят.
поставить на маршрутизатор файрволл
Не, это слишком просто и палевно. Шары с прокси компа таки должны открываться, и на фтп заходить. Просто должен "почему-то не работать" проксик.
с очевидностью блокировать на маршрутизаторе трафик по порту на котором сидит ccproxy
зы как же тебе сеть-то доверили ; )
зы как же тебе сеть-то доверили ; )
Спасибо. И что там закрыть?
зы как же тебе сеть-то доверили ; )потом расскажу
А если прокси сменит порт? Снова nmap и опять блокировать?
ЗЫ: респект за подпись =) можно ещё вот чо вставить
А если прокси сменит порт?Надеяться на тупость пользователей. Потому что можно устроить шифрованную передачу данных через ssh, или IPSec. Распознать такой трафик будет крайне трудно.
Во, я придумал. На файерволле разрешить только входящий\исходящий траффик на порты фтп и самбы (21, 139 и 137 вроде в винде а остальные — запретить. В таком случае ни прокси, ни впнконнект до того сервера доходить не будет, так ведь?
И что там закрыть?неее. это неправильный подход. Вопрос должен стоять: "что им, так уж и быть, открыть?" ; )
пропускать нужно только нужный трафик. его не так уж и много. гемор это только ftp (там трафик идет на левые udp порты) и виндовые шары (там несколько портов надо открыть).
зы что за маршрутизатор кстати? я лично настраивал тока линуховые iptables.
с фтп могут быть проблемы.... помимо управляющего соединения которое иницируется клиентом на 21 порт сервера у него еще есть data-соединение, которое может создаваться как клиентом так и сервером в зависимости от active\passive ftp и на другие порты.
да ты и сам догадался ; )
с фтп могут быть проблемы.... помимо управляющего соединения которое иницируется клиентом на 21 порт сервера у него еще есть data-соединениесредствами iptables это лечится
... -m helper --helper ftp ...
да ты и сам догадался ; )угу, после того,как сникерснул
быть, открыть?" ; )ну будут гонять инфу через 21 порт. Шифрованный фтп от шифрованного прокси не отличишь
пропускать нужно только нужный трафик. его не так уж и много. гемор это только ftp (там трафик идет на левые udp порты) и виндовые шары (там несколько портов надо открыть).
Шифрованный фтп от шифрованного прокси не отличишьфтп трафик разрешить только до машины с фтп сервером. прочий транзитный трафик по 21 порту блокировать. в ситуации если фтп вертится на машине с прокси, я не думаю что предпочтение будет отдано левому прокси
. в ситуации если фтп вертится на машине с прокси, я не думаютогда можно сразу блокировать трафик между всеми машинами в сети, разрешая доступ только до сервера. Но блокировку по IP вроде же не одобрили в этой теме
Но блокировку по IP вроде же не одобрили в этой темеаффтар имел в виду что нельзя блокировать весь трафик между хостами
> тогда можно сразу блокировать трафик между всеми машинами в сети
между подсетями
а почему бы нет. а зачем он нужен? вирусы культивировать?
порты фтп и самбы (21, 139 и 137 вроде в винде)самба - udp: 137, tcp: 138, 139, 445
гемор это только ftp (там трафик идет на левые tcp порты)
самба - udp: 137, tcp: 138эти не самба как таковая:
>sockstat |grep smbd
root smbd 679 18 tcp4 some-ip:445 *:*
root smbd 679 19 tcp4 some-ip:139 *:*
эти не самба как таковая:Ну я имел в виду в общем и целом, в том числе венду.
>sockstat |grep smbd
root smbd 679 18 tcp4 some-ip:445 *:*
root smbd 679 19 tcp4 some-ip:139 *:*
А ещё надо было так, наверное всё же: "sockstat |grep [ns]mbd".
Каким образом я могу запретить использовать этому человеку прокси, кроме как "показать кусачки"(с)кто-то не хочет платить за инет?
Оставить комментарий
Dmitry08
Есть удалённая виндовс машина с установелнным на ней ccproxy, работающая как проксик.В моей сети есть человек, использующий этот прокси. В моём распоряжении маршрутизатор из моей сети в ту сеть.
Каким образом я могу запретить использовать этому человеку прокси, кроме как "показать кусачки"(с)