Use Proxy

Автор: st_linux Дата: 09.07.2003 11:24 У меня весь iNet построен на прокси. Я вот себе скачал и установил irc клиент. Начал его настраивать, но опций там то нет на счет исполз прокси. И вообще как сделать так чтоб полностью система работала с прокси как с модемом? Или чтоб все проги в консоли видили подключение через прокси. В крестах (мозила, нетскап...) есть такие настройки. Выбрал прокси - и все работает...
Re: Use Proxy 09.07.2003 11:29МихаилZ Для ирки прокся не подойдет
Надо просто iptables на шлюзе настроить и включить nat для ирки - тогда пользователи смогут прозрачно работать с иркой
Re: Use Proxy 09.07.2003 12:08Vladimir Dyakov На самом деле _гипотетически_ это настраивается: либо прозрачным прокси (не уверен, что получится; требуется скоординированная настройка iptables и squid, информацию можно найти в доках сквида), либо методом CONNECT (требуется умение клиента работать с прокси).
Но смысла особенного в этом нет, т.к. накакой экономии не выйдет, более того, будет зря нагружаться прокси-сервер.
Re: Use Proxy 09.07.2003 13:13Woodoo Vladimir Dyakov писал(а):

> На самом деле _гипотетически_ это настраивается: либо
> прозрачным прокси (не уверен, что получится; требуется

Никогда не возился с irc - socks5-прокси не подойдет?
Re: Use Proxy 09.07.2003 13:54st_linux Woodoo писал(а):

> Никогда не возился с irc - socks5-прокси не подойдет?
>

что Вы имеете ввиду?
Re: Use Proxy 09.07.2003 14:34Woodoo st_linux писал(а):

> > Никогда не возился с irc - socks5-прокси не подойдет?
> что Вы имеете ввиду?

Что нужно уточнить какой именно прокси был использован "для построения инета". Сквид - это таки http-прокси. Фактически клиентов, использующих другие виды траффика нужно или адаптировать под http (туннелировать), или глобально перенастраивать squid - разрешать исходящие по методу CONNECT на порты, отличные от ssl - а это не есть good.

Вариант открывать nat/masq для клиентов чреват снижением уровня секьюрности и провалами в системе учета.

Есть вариант поднять на этой же машине socks-прокси (пакеты dante, dante-server), настройка которого никак не скажется на настройках squid и пользоваться им. Многие клиенты (в mozilla и *icq он есть в списке возможных типов прокси) поддерживают использование socks, впрочем там есть еще и socksify. ;-)

Единственное - именно с irc никогда не работал, даже требований не знаю. Не было нужно, наверное.
Re: Use Proxy 09.07.2003 15:33МихаилZ >Вариант открывать nat/masq для клиентов чреват снижением уровня секьюрности
>и провалами в системе учета.

Интересно. А если через прокси работать то что безопасность будет выше?
Тоже открытым текстом пойдет

Насчет провалов - громко сказано. При передачи сообщений траффик не большой. Если конечно ирка не умеет файлы передавать Улыбка (Я ей не пользуюсь)
К тому же можно настроить учет траффика в iptables
Re: Use Proxy 09.07.2003 18:35Woodoo МихаилZ писал(а):

> >Вариант открывать nat/masq для клиентов чреват снижением
> уровня секьюрности
> >и провалами в системе учета.
>
> Интересно. А если через прокси работать то что безопасность
> будет выше?
> Тоже открытым текстом пойдет

Нет, я не об этом. Открыть нат, маскарад для клиента - это не только открыть доступ для irc, но и, при отсутствии должной настройки, - браузеру, аське, почте, ньюсам и т.д. Если начать рубить все фичи на уровне фаейрволла - может получиться гигантский список правил.
Т.е. все равно тюнить нужно. Другое дело - каким инструментом пользоваться при управлении: на уровне "низкого" управления цепочками правил iptables, или описывая языком управления socks-сервера.

> Насчет провалов - громко сказано. При передачи сообщений
> траффик не большой. Если конечно ирка не умеет файлы передавать
> Улыбка (Я ей не пользуюсь)
> К тому же можно настроить учет траффика в iptables

Они не умеют фильтровать по url запроса. ;-)
Например, порносайты, баннеры. Сложно настроить время доступа.
Как правило, одним запросом - "хочу пользоваться иркой" не заканчивается. Потому что очень скоро появляется необходимость достучаться еще до одного очередного irc.*.ru|su|ua и работа администратора может превратиться в едва ли не он-лайн операторскую. Становится *проще* открыть все адреса и все порты. И "хитрый усверь" уже через несколько мгновений сообразит, что ходить через сквид совсем не обязательно - можно просто отключить использование прокси в браузере.

Принцип "муравейника Мерфи" - если есть возможнсоть - она будет реализована. Улыбка
Re: Use Proxy 10.07.2003 07:07Vladimir Dyakov > очередного irc.*.ru|su|ua...
Ирк работает по своим портам. Открываем доступ на _данные_ порты на все тачки _только_ для сервера ирка. Как пользователь этим воспользуется, если 1) родной 80й закрыт 2) пользователь даже по ирковым портам никуда не залезет?
Re: Use Proxy 10.07.2003 08:32МихаилZ Woodoo писал(а):
> Нет, я не об этом. Открыть нат, маскарад для клиента - это не
> только открыть доступ для irc, но и, при отсутствии должной
> настройки, - браузеру, аське, почте, ньюсам и т.д. Если начать
> рубить все фичи на уровне фаейрволла - может получиться
> гигантский список правил.

Гигантский ? не думаю Вот посмотрите

[forum.asplinux.ru]

Чтобы вырубить все достаточно одной цепочки а потом по одной разрешающей цепочки на службу. Для ирки нужна будет одна цепочка для ее порта
А ходить в инет без настроеного iptables ? Для организации это немыслимо

> Они не умеют фильтровать по url запроса. ;-)
> Например, порносайты, баннеры. Сложно настроить время
> доступа.
>

Для этого есть прозрачный прокси
[forum.asplinux.ru]
Re: Use Proxy 10.07.2003 17:35Woodoo Vladimir Dyakov писал(а):

> > очередного irc.*.ru|su|ua...
> Ирк работает по своим портам. Открываем доступ на _данные_
> порты на все тачки _только_ для сервера ирка.

Улыбка
Cпециально же сказал, что *не знаю* как работает ирка.
Это означает, что при решении проблемы хочется ее решить принципиально - на уровне идеологии, а не уровне частного решения - открыть/закрыть порт(ы). Для одного сервера назначения? Ок. Для 2 - тоже не проблема! А для 102 серверов? А где граница? ;-)
В данном частном случае - да, согласен, проще открыть порт. Но что делать, если через день, неделю, месяц, год (не важно, через какой период) - понадобится еще 1,2,.. 100 сервисов?

[paranoya on]

> Как пользователь
> этим воспользуется, если 1) родной 80й закрыт

Не показатель. 8080, 3128. По идее нужно закрывать *все*.

2) пользователь
> даже по ирковым портам никуда не залезет?

Есть гарантия, что на ирковых портах нигде не живет какой-нить халявный proxy? Какой-нить http-туннелинг-over-irc и "здравствуй, мир!" ;-)
[www.google.com]

[paranoya off]
Re: Use Proxy 11.07.2003 07:46Vladimir Dyakov Невнимательно читаете, либо не обдумываете, что я вам пишу.
> Cпециально же сказал, что *не знаю* как работает ирка.

Не знаю - надо учиться. Включаем tcpdump на рутере, и смотрим, _что_ шлёт и по каким портам ирк-сервер.

>Для одного сервера назначения?

Речь идёт обо _всех_ серверах назначения. Если я правильно понял. Схема примерно такая:
---
Irc-server1 -----------------\_____{ рутер }___/------ клиент1
Irc-server2 -----------------/ { } \------ клиент2
---
В этом случае на рутере в цепочке INPUT таблицы FILTER ставим политику DROP, разрешаем весь трафик, необходимый каким-то нужным сервисам (например, разрешаем всем ходить на 110 порт наружу). После этого разрешаем всем ходить натом на порты 6667-6669 (ирковые). Всё. Какие дыры?

> халявный proxy
такая возможность есть всегда с _любым_ портом. Если вы хотите _гарантированную защиту от этого, то вам надо в принципе запретить всем натиться в интернет. Это не есть гут. Кстати, эта опасность в реальности имеется не на том рутере, который я нарисовал в схеме. Её место также колеблется в зависимости от точки подсчёта трафика провайдером.
Re: Use Proxy 11.07.2003 11:44Woodoo Vladimir Dyakov писал(а):

> Невнимательно читаете, либо не обдумываете, что я вам пишу.

Да. Улыбка

> > Cпециально же сказал, что *не знаю* как работает ирка.
> Не знаю - надо учиться. Включаем tcpdump на рутере, и
> смотрим, _что_ шлёт и по каким портам ирк-сервер.

Вполне возможно, можно ограничиться чтением /etc/services. В случае, если используемые порты нестандартны - про это скажут на хоумпаге, нет? ;-)

> >Для одного сервера назначения?
> Речь идёт обо _всех_ серверах назначения. Если я правильно
> понял. Схема примерно такая:

Да-да, я приблизительно о такой как раз и думал.
Владимир, у меня тут через 2 ната+iptables бегает h323 помимо других сервисов - есть подозрение, что эту часть можно опустить.

> 6667-6669 (ирковые). Всё. Какие дыры?

Вот эти:

> > халявный proxy
> такая возможность есть всегда с _любым_ портом. Если вы
> хотите _гарантированную защиту от этого, то вам надо в принципе
> запретить всем натиться в интернет. Это не есть гут. Кстати,

Именно так и есть. По одной простой причине - isdn-повременка on-demand. *Никто* из пользователей не имеет ната или маскарада наружу. И не жалуются. В отсутствии сервисов, во всяком случае. http, pop, mail, nntp, icq. Сетуют, что не могут на стульчик.нет зайти - это да. В 22-00 без инета остаются - это да. Зато и не держат мне канал поднятым все выходные, потому что какой-то дятел оставил включенной машину с аськой в трее. 1 час/1канал = 1,2 $.
Как Вы считаете - цель оправдывает средства?
Единственный круглосуточный сервис - это ip-phone. По определению задачи.

*загнул палец. Ж)

Вернемся к нашим баранам. Ой, усверям.
У меня: 4 функциональные группы, 3 режима времени, 3delay pools, 2 уровня доступа к url назначения. И это не моя выдумка - а требование дирекции. Итого 4*3*3*2=72 элементарные комбинации (не считая дуального значения для времени: time2up, time2down). С учетом анализа и ручной оптимизации можно свести к 20-30. Если Вы попытаетесь доказать мне, что это управление доступом и контроль лучше реализовать с помощью скриптов, управляющих цепочками нат и кроном - я Вам не поверю. Улыбка

Для меня все-таки проще и спокойней изменить 1 раз время работы (это случается тоже нередко) или добавить в файл-блэклист десяток сайтов или регэкспов) или... или... или..., чем править многочисленные скрипты и крон.

Т.е. все-таки есть задачи, которые решаются на одном уровне , и есть те, которые решаются на другом. В принципе и скрипты можно писать в машинных кодах, почему бы и "нет"? А заготовки обтачивать шкуркой-нулевкой, сидя на фрезерном станке.

И заметьте, почему-то предпочитают все-таки пользоваться штатными средствами одного уровня (в данном случае средствами прокси), чем штатными средствами другого (в данном случае нетфильтра).

Поэтому, когда стоит вопрос о возможности *технической реализации* задачи, это одно. Другое, если мы соизмеряем степень затрат на реализацию и важность той или иной задачи. И третье - это системный подход.

Системное администрирование, по моему глубокому убеждению - это не управление операционной системой, но информационной системой в целом - включая *систематический подход* к решению задач. Системному администратору в принципе должно быть неважно по каким портам ходит irc или сколько пользователей у него в сетке - 1, 2 или 101. Он *должен* настроить всю систему так, чтобы она работала при любом уровне, количестве и качестве поставленных задач. И по возможности - без вмешательства человека - ну к чему такой высокий фактор риска?
Но все еще хуже - в задачи сисадмина входит еще и прогнозирование и планирование возможных задач хотя бы в обозримом будущем.
Re: Use Proxy 11.07.2003 11:58Vladimir Dyakov Woodoo писал(а):

Woodoo, st_linux не описывал сеть подобную вашей, да и вы сами описали её только сейчас. Я лишь даю ответ в соответствии с тем, какие реплики вижу в форуме.

> Системное администрирование, по моему глубокому убеждению -
> это не управление операционной системой, но информационной
> системой в целом - включая *систематический подход* к решению
> задач. Системному администратору в принципе должно быть неважно
> по каким портам ходит irc или сколько пользователей у него в
> сетке - 1, 2 или 101. Он *должен* настроить всю систему так,
> чтобы она работала при любом уровне, количестве и качестве
> поставленных задач. И по возможности - без вмешательства
> человека - ну к чему такой высокий фактор риска?
> Но все еще хуже - в задачи сисадмина входит еще и
> прогнозирование и планирование возможных задач хотя бы в
> обозримом будущем.
>

Долго расписывать не буду, но, имхо (опыт показывает), что развитие далеко не каждой системы прогнозируется достаточно эффективно, чтобы можно было всерьёз этим пользоваться. Точнее, обычно стоит вопрос стоимости прогноза.
> Он *должен* настроить всю систему так,
> чтобы она работала при любом уровне, количестве и качестве
> поставленных задач. И по возможности - без вмешательства
Слова "должно" и "любой" навевают у меня ассоциации с идеологией командно-административной системы, когда задачи ставятся без учёта возможностей. На счёт невмешательства - тоже преувеличение. Практически ни одна система, обслуживающая человека, не может работать без его постоянной коррекции, тем более такая сложная, как _развивающаяся_ компьютерная сеть.
Re: Use Proxy 11.07.2003 12:44st_linux Ну вы даете господа! Я понял процентов 50 а может и меньше написаного Вами... Я конечно понимаю куда там братссссса начинающему админу к гуру!

С Вами, Владимир, я согласен за неполностью изложенности прикладной инфы.

Принцип построения прокси детально я не знаю -- нет доступа к серверу:-((...

Но обятно раскажу - может поможет чем...

Пришли типки с ITComputers принесли с собой сервачок в придачу. У нас выделенка, потому они же его настраивали. Подняли прокси через скьюид. Все стандартно - никаких дополнительных настроек... файрвал - не настроен. iptables - все по умолчанию... ну апач еще - ВСЕ! Енто я узнал мона сказать не очень легально:-) Потому все детально я не могу изучить. Админят прокси только типки с АйТи... Я бы не прочь и сам все узнать, имея полную конф я уверен что предоставя часть ентой информ - столько вас бы не мучил, господа... Коль на то дело - настройки детские то. Прокси стоит на станд 3128. Трафик у нас не ограниченный. Если вы мне будете давать советы по настройки инет сервака (в данном случае прокси) - то только время потеряете, хотя может и чему-то и сам научусь с них, ибо доступ к нему не имею...

Говорю конкретно теперь:

Я хочу ща сервак который мне дали на =растерзание= подключить к нету можна сказать через емуляцию...в смысле дать доступ к нету консольным приложениям. Как мне проделать - в доках нигде нет. Искал долго - надеюсь найду или получу прекрасный совет...
Re: Use Proxy 11.07.2003 12:44st_linux Ну вы даете господа! Я понял процентов 50 а может и меньше написаного Вами... Я конечно понимаю куда там братссссса начинающему админу к гуру!

С Вами, Владимир, я согласен за неполностью изложенности прикладной инфы.

Принцип построения прокси детально я не знаю -- нет доступа к серверу:-((...

Но обятно раскажу - может поможет чем...

Пришли типки с ITComputers принесли с собой сервачок в придачу. У нас выделенка, потому они же его настраивали. Подняли прокси через скьюид. Все стандартно - никаких дополнительных настроек... файрвал - не настроен. iptables - все по умолчанию... ну апач еще - ВСЕ! Енто я узнал мона сказать не очень легально:-) Потому все детально я не могу изучить. Админят прокси только типки с АйТи... Я бы не прочь и сам все узнать, имея полную конф я уверен что предоставя часть ентой информ - столько вас бы не мучил, господа... Коль на то дело - настройки детские то. Прокси стоит на станд 3128. Трафик у нас не ограниченный. Если вы мне будете давать советы по настройки инет сервака (в данном случае прокси) - то только время потеряете, хотя может и чему-то и сам научусь с них, ибо доступ к нему не имею...

Говорю конкретно теперь:

Я хочу ща сервак который мне дали на =растерзание= подключить к нету можна сказать через емуляцию...в смысле дать доступ к нету консольным приложениям. Как мне проделать - в доках нигде нет. Искал долго - надеюсь найду или получу прекрасный совет...
Re: Use Proxy 11.07.2003 12:44st_linux Ну вы даете господа! Я понял процентов 50 а может и меньше написаного Вами... Я конечно понимаю куда там братссссса начинающему админу к гуру!

С Вами, Владимир, я согласен за неполностью изложенности прикладной инфы.

Принцип построения прокси детально я не знаю -- нет доступа к серверу:-((...

Но обятно раскажу - может поможет чем...

Пришли типки с ITComputers принесли с собой сервачок в придачу. У нас выделенка, потому они же его настраивали. Подняли прокси через скьюид. Все стандартно - никаких дополнительных настроек... файрвал - не настроен. iptables - все по умолчанию... ну апач еще - ВСЕ! Енто я узнал мона сказать не очень легально:-) Потому все детально я не могу изучить. Админят прокси только типки с АйТи... Я бы не прочь и сам все узнать, имея полную конф я уверен что предоставя часть ентой информ - столько вас бы не мучил, господа... Коль на то дело - настройки детские то. Прокси стоит на станд 3128. Трафик у нас не ограниченный. Если вы мне будете давать советы по настройки инет сервака (в данном случае прокси) - то только время потеряете, хотя может и чему-то и сам научусь с них, ибо доступ к нему не имею...

Говорю конкретно теперь:

Я хочу ща сервак который мне дали на =растерзание= подключить к нету можна сказать через емуляцию...в смысле дать доступ к нету консольным приложениям. Как мне проделать - в доках нигде нет. Искал долго - надеюсь найду или получу прекрасный совет...
Re: Use Proxy 11.07.2003 12:44st_linux Ну вы даете господа! Я понял процентов 50 а может и меньше написаного Вами... Я конечно понимаю куда там братссссса начинающему админу к гуру!

С Вами, Владимир, я согласен за неполностью изложенности прикладной инфы.

Принцип построения прокси детально я не знаю -- нет доступа к серверу:-((...

Но обятно раскажу - может поможет чем...

Пришли типки с ITComputers принесли с собой сервачок в придачу. У нас выделенка, потому они же его настраивали. Подняли прокси через скьюид. Все стандартно - никаких дополнительных настроек... файрвал - не настроен. iptables - все по умолчанию... ну апач еще - ВСЕ! Енто я узнал мона сказать не очень легально:-) Потому все детально я не могу изучить. Админят прокси только типки с АйТи... Я бы не прочь и сам все узнать, имея полную конф я уверен что предоставя часть ентой информ - столько вас бы не мучил, господа... Коль на то дело - настройки детские то. Прокси стоит на станд 3128. Трафик у нас не ограниченный. Если вы мне будете давать советы по настройки инет сервака (в данном случае прокси) - то только время потеряете, хотя может и чему-то и сам научусь с них, ибо доступ к нему не имею...

Говорю конкретно теперь:

Я хочу ща сервак который мне дали на =растерзание= подключить к нету можна сказать через емуляцию...в смысле дать доступ к нету консольным приложениям. Как мне проделать - в доках нигде нет. Искал долго - надеюсь найду или получу прекрасный совет...
Re: Use Proxy 11.07.2003 12:46st_linux Ну вы даете господа! Я понял процентов 50 а может и меньше написаного Вами... Я конечно понимаю куда там братссссса начинающему админу к гуру!

С Вами, Владимир, я согласен за неполностью изложенности прикладной инфы.

Принцип построения прокси детально я не знаю -- нет доступа к серверу:-((...

Но обятно раскажу - может поможет чем...

Пришли типки с ITComputers принесли с собой сервачок в придачу. У нас выделенка, потому они же его настраивали. Подняли прокси через скьюид. Все стандартно - никаких дополнительных настроек... файрвал - не настроен. iptables - все по умолчанию... ну апач еще - ВСЕ! Енто я узнал мона сказать не очень легально:-) Потому все детально я не могу изучить. Админят прокси только типки с АйТи... Я бы не прочь и сам все узнать, имея полную конф я уверен что предоставя часть ентой информ - столько вас бы не мучил, господа... Коль на то дело - настройки детские то. Прокси стоит на станд 3128. Трафик у нас не ограниченный. Если вы мне будете давать советы по настройки инет сервака (в данном случае прокси) - то только время потеряете, хотя может и чему-то и сам научусь с них, ибо доступ к нему не имею...

Говорю конкретно теперь:

Я хочу ща сервак который мне дали на =растерзание= подключить к нету можна сказать через емуляцию...в смысле дать доступ к нету консольным приложениям. Как мне проделать - в доках нигде нет. Искал долго - надеюсь найду или получу прекрасный совет...
Re: Use Proxy 11.07.2003 15:23МихаилZ st_linux писал(а):

> Я хочу ща сервак который мне дали на =растерзание= подключить
> к нету можна сказать через емуляцию...в смысле дать доступ к
> нету консольным приложениям. Как мне проделать - в доках нигде
> нет. Искал долго - надеюсь найду или получу прекрасный
> совет...

Если приложение не знает что такое прокси - для вас единственный выход - использование nat в iptables

Вот пример
[forum.asplinux.ru]

В вашем случае придется еще добавить порты для тех служб которые используются программами и закрыть те что вам не нужны

В результате программы будут думать что они подключены непосредственно к инету

А не использовать iptables для закрытия портов - в нашем деле ошибка могущая стать роковой
RSS-материал