https://www.opennet.me/openforum/vsluhforumID3/63743.html При пробрасывании http-туннеля через http-прокси, http-заголовок пакета имеет аномально маленький размер, порядка 80-90 байт, так как передается лишь минимальный набор данных. Заголовок передаваемых браузером запросов обычно не бывает меньше 350 байт. Основываясь на данной особенности можно отфильтровать проброшенных поверх http-прокси туннели.<br><br> # политика по умолчанию<br> iptables -P INPUT DROP<br> iptables -P OUTPUT DROP<br> iptables -P FORWARD DROP<br><br> # создаём новую цепочку LENGTH<br> iptables -N LENGTH<br><br> # проверяем длину пакета, если меньше 350 байт то блокируем<br> iptables -A LENGTH -p tcp --dport 3128 -m length --length :350 -j DROP<br><br> # если пакет больше 350 байт то пропускаем<br> iptables -A LENGTH -p tcp --dport 3128 -j ACCEPT<br><br> # разрешаем подключение на порт 3128<br> iptables -A INPUT -p tcp --syn --dport 3128 -j ACCEPT<br><br> # в установленом соединении проверяем пакеты на запрос GET --hex- string "&#124;47 45 54 20&#124;" <br> # если есть такой пакет то направляем его в цепоч https://www.opennet.me/openforum/vsluhforumID3/63743.html#8 Fri, 19 Feb 2010 23:17:02 GMT А если HTTP METHOD CONNECT забанить для 80-го порта разве соединение с прокси и туннелями установится? По идее, если заблочен метод-коннект, то должны работать только анонимайзеры, поскольку это обычные веб-страницы. А вот их уже одолеть можно только банлистом по названиям...<br> https://www.opennet.me/openforum/vsluhforumID3/63743.html#7 Sat, 13 Feb 2010 20:02:22 GMT не режьте таким как я единственную возможность достукиваться до домашней машины и рабочих серверов!<br> https://www.opennet.me/openforum/vsluhforumID3/63743.html#6 Wed, 10 Feb 2010 16:36:35 GMT &gt;&gt;А подскажите, есть ли возможность фаерволом или в самой прокси подрезать возможность <br>&gt;&gt;коннекта к удалённому openvpn серверу? И можно ли это подмутить при <br>&gt;&gt;помощи ipfw? <br>&gt;<br>&gt;man mg_tag <br><br>ng_tag //fixed<br> https://www.opennet.me/openforum/vsluhforumID3/63743.html#5 Wed, 10 Feb 2010 16:36:03 GMT &gt;А подскажите, есть ли возможность фаерволом или в самой прокси подрезать возможность <br>&gt;коннекта к удалённому openvpn серверу? И можно ли это подмутить при <br>&gt;помощи ipfw? <br><br>man mg_tag<br> https://www.opennet.me/openforum/vsluhforumID3/63743.html#4 Wed, 10 Feb 2010 11:54:19 GMT А подскажите, есть ли возможность фаерволом или в самой прокси подрезать возможность коннекта к удалённому openvpn серверу? И можно ли это подмутить при помощи ipfw?<br> https://www.opennet.me/openforum/vsluhforumID3/63743.html#3 Wed, 10 Feb 2010 05:22:28 GMT а не проще тогда на проксе зарезать?<br> https://www.opennet.me/openforum/vsluhforumID3/63743.html#2 Tue, 09 Feb 2010 20:12:55 GMT http-proxy можно использовать честно - браузером.<br>При этом постить и скачивать гигабайты.<br>Правда, нужен союзник с другой стороны, но он так и так нужен.<br> https://www.opennet.me/openforum/vsluhforumID3/63743.html#1 Tue, 09 Feb 2010 19:04:10 GMT &gt; http-заголовок пакета имеет аномально маленький <br>&gt; размер, порядка 80-90 байт<br><br>Спасибо, Кэп. Мы учтем что вы и некоторые иные админы любите лишний бесполезный траффик и так и быть доработаем напильником свои тулзы на случай встреч с вами и вашими тулсами. Впрочем в заголовки тоже в принципе можно трафф запихнуть если захотеть :-). Интересное наблюдение по части аномалий, жаль что применение как всегда, ограничительное.<br>