Добрый день. Как можно скрыть сквид, чтобы никто не смог догадаться, что на машине стоит прокси (провайдер отлавливает)? Например замаскировать его под ftp-server (уже поменял порт на 21, измменил на страницах ошибок сообщение, мол сгенерировано не сквидом, а фтп-сервером: Generated Sun, 15 Apr 2007 19:05:53 GMT by none (ProFTPD v 0.9.23) ). Но при скане машины X-Spider'ом, он не может точно сказать что это за сервис, но все же делает предположение именно о squid'e.Не знаю, может как-то научить его выводить ftp-сообщения и команды, вроди:
squid: 220 Welcome to FTP Server
мы: USER anonymous
squid: Password required for anonymous.
мы: PASS *****
squid: 530 Login incorrect.
squid поставь в transparent режим, а к нему еще и ftp кэшируещий сервер (frox), и тоже в "прозрачном режиме"
Настроить сквид, чтоб отвечал только в сторону локалки
tcp_outgoing_address или чего-то типа того
может фаерволом от провайдера его закрыть? ;-)
>Добрый день. Как можно скрыть сквид, чтобы никто не смог догадаться, что
>на машине стоит прокси (провайдер отлавливает)? Например замаскировать его под ftp-server
>(уже поменял порт на 21, измменил на страницах ошибок сообщение, мол
>сгенерировано не сквидом, а фтп-сервером: Generated Sun, 15 Apr 2007 19:05:53
>GMT by none (ProFTPD v 0.9.23) ). Но при скане машины
>X-Spider'ом, он не может точно сказать что это за сервис, но
>все же делает предположение именно о squid'e.
>
>Не знаю, может как-то научить его выводить ftp-сообщения и команды, вроди:
>squid: 220 Welcome to FTP Server
>мы: USER anonymous
>squid: Password required for anonymous.
>мы: PASS *****
>squid: 530 Login incorrect.А не проще его подцепить только на внутренний интерфейс, в локалку?
Тогда на внешнем его и не будет видно.
>А не проще его подцепить только на внутренний интерфейс, в локалку?
>Тогда на внешнем его и не будет видно.так провайдер же и будет из локалки лезть. проверить могут с любого локального айпи. и только одному(нескольким определенным) мы будем давать доступ и "рассекречиваться" :) Этих избранных я уже прописАл в acl.
>>А не проще его подцепить только на внутренний интерфейс, в локалку?
>>Тогда на внешнем его и не будет видно.
>
>так провайдер же и будет из локалки лезть. проверить могут с любого
>локального айпи. и только одному(нескольким определенным) мы будем давать доступ и
>"рассекречиваться" :) Этих избранных я уже прописАл в acl.
Не понял. У тебя провайдер в твоей локалке?
Ты для него провайдер? Если честно, то совсем не пойму
кто от кого и зачем прячется.
Запретить сканирование (например для iptables можно скомпилировать
модуль psd (Port Scan Detections - кажется так расшифровывается).
Если твой провайдер запрещает тебе ставить прокси (что за бред? в чём логика?),
то может послать его и объяснить, что тебе прокси нужен для экономии трафика.
>>>А не проще его подцепить только на внутренний интерфейс, в локалку?
>>>Тогда на внешнем его и не будет видно.
>>
>>так провайдер же и будет из локалки лезть. проверить могут с любого
>>локального айпи. и только одному(нескольким определенным) мы будем давать доступ и
>>"рассекречиваться" :) Этих избранных я уже прописАл в acl.
>
>
>Не понял. У тебя провайдер в твоей локалке?
>Ты для него провайдер? Если честно, то совсем не пойму
>кто от кого и зачем прячется.
>Запретить сканирование (например для iptables можно скомпилировать
>модуль psd (Port Scan Detections - кажется так расшифровывается).
>Если твой провайдер запрещает тебе ставить прокси (что за бред? в чём
>логика?),
>то может послать его и объяснить, что тебе прокси нужен для экономии
>трафика.
Почему бред...
Очень даже и не бред...
Скорее всего ситуация следующая:
-Домашние сети
-Пров запретил доступ к сетевым ресурсам извне
-Во внутреней сети очень много вкусного
===============================================
>>>>А не проще его подцепить только на внутренний интерфейс, в локалку?
>>>>Тогда на внешнем его и не будет видно.
>>>
>>>так провайдер же и будет из локалки лезть. проверить могут с любого
>>>локального айпи. и только одному(нескольким определенным) мы будем давать доступ и
>>>"рассекречиваться" :) Этих избранных я уже прописАл в acl.
>>
>>
>>Не понял. У тебя провайдер в твоей локалке?
>>Ты для него провайдер? Если честно, то совсем не пойму
>>кто от кого и зачем прячется.
>>Запретить сканирование (например для iptables можно скомпилировать
>>модуль psd (Port Scan Detections - кажется так расшифровывается).
>>Если твой провайдер запрещает тебе ставить прокси (что за бред? в чём
>>логика?),
>>то может послать его и объяснить, что тебе прокси нужен для экономии
>>трафика.
>Почему бред...
>Очень даже и не бред...
>Скорее всего ситуация следующая:
>-Домашние сети
>-Пров запретил доступ к сетевым ресурсам извне
>-Во внутреней сети очень много вкусного
>===============================================Ну тогда гораздо правильней, IMHO, ограничить доступ firewall-ом.
К тому же "так провайдер же и будет из локалки лезть" - не совсем понятно
каким образом, из локалки в локалку если "Во внутренней сети очень много вкусного"?
Каким образом коннект извне зависит от наличия прокси-сервера?
Разграничение доступа? Так это делается любым другим способом.
Может желание провайдера не дать сэкономить трафик?
Какой-то динамический контент у провайдера, который может неадекватно
работать при кэшировании? Так это тоже настройкам SQUID исправляется.
Одним словом задача не очень ясна, а следовательно советовать что-то трудно
Похоже у провайдера есть серая сеть, с бесплатным или очень дешовым трафиком внутри, которую он выпускает в инет через шлюз. Несколько пользователей, из этой сети, решили сбросится и взять один анлим на всех. Только провайдер похоже их взглядов не разделяет :) .
>Похоже у провайдера есть серая сеть, с бесплатным или очень дешовым трафиком
>внутри, которую он выпускает в инет через шлюз. Несколько пользователей, из
>этой сети, решили сбросится и взять один анлим на всех. Только
>провайдер похоже их взглядов не разделяет :) .Если настроить нормальный NAT, то "светиться" тоже будет один адрес.
При чём же прокси?
>Если настроить нормальный NAT, то "светиться" тоже будет один адрес.
>При чём же прокси?Правельно. Пропустить на него избранные IP , а на клиентах указать IP с NAT-машины, как шлюз по умолчанию. И жить счастлива, пока провайдер не закроет порты, кроме приренга :) .
>Похоже у провайдера есть серая сеть, с бесплатным или очень дешовым трафиком
>внутри, которую он выпускает в инет через шлюз. Несколько пользователей, из
>этой сети, решили сбросится и взять один анлим на всех. Только
>провайдер похоже их взглядов не разделяет :) .в точку. с NAT почти не знаком, что-то где-то слышал, да и говорят его сложнее настроить, нежели прокси.
Если не нужно править useragent-а, то проще.
Если делаеш по linux читай про iptables, если *bsd то про их фаерволы, если под win то удачи :) . Особенно если захочется править ttl .
>Если не нужно править useragent-а, то проще.
>Если делаеш по linux читай про iptables, если *bsd то про их
>фаерволы, если под win то удачи :) . Особенно если
>захочется править ttl .
useagent'ы уже заменил. делаю под win.
>useagent'ы уже заменил. делаю под win.win это зачёёёёттт :)))))
>>Похоже у провайдера есть серая сеть, с бесплатным или очень дешовым трафиком
>>внутри, которую он выпускает в инет через шлюз. Несколько пользователей, из
>>этой сети, решили сбросится и взять один анлим на всех. Только
>>провайдер похоже их взглядов не разделяет :) .
>
>в точку. с NAT почти не знаком, что-то где-то слышал, да и
>говорят его сложнее настроить, нежели прокси.
NAT - это одна строчка в фильтре пакетов iptables.
Какие трудности её написать?
>Добрый день. Как можно скрыть сквид, чтобы никто не смог догадаться, что
>на машине стоит прокси (провайдер отлавливает)? Например замаскировать его под ftp-server
>(уже поменял порт на 21, измменил на страницах ошибок сообщение, мол
>сгенерировано не сквидом, а фтп-сервером: Generated Sun, 15 Apr 2007 19:05:53
>GMT by none (ProFTPD v 0.9.23) ).попутно: это галиматья. посмотрите текущую версию proftpd :) скрыть не поможет, но тяпа не будет :-)
> Но при скане машины X-Spider'ом, он не может точно сказать что это за сервис, но
>все же делает предположение именно о squid'e.потому как он обязан принять запрос к нему как к прокси. что успешно и делает спайдер.
не долбитесь в мозг, поставьте NAT.
его гораздо сложнее вычислить.
P.S. Свирепый провайдер. сеть изнутри сканит.