The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Раздел полезных советов: Защищаем http-proxy от пробрасывани..."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Раздел полезных советов: Защищаем http-proxy от пробрасывани..."  +/
Сообщение от auto_tips (ok) on 09-Фев-10, 22:04 
При пробрасывании http-туннеля через http-прокси, http-заголовок пакета имеет аномально маленький размер, порядка 80-90 байт, так как передается лишь минимальный набор данных. Заголовок передаваемых браузером запросов обычно не бывает меньше 350 байт. Основываясь на данной особенности можно отфильтровать проброшенных поверх http-прокси туннели.

   # политика по умолчанию
   iptables -P INPUT DROP
   iptables -P OUTPUT DROP
   iptables -P FORWARD DROP

   # создаём новую цепочку LENGTH
   iptables -N LENGTH

   # проверяем длину пакета, если меньше 350 байт то блокируем
   iptables -A LENGTH -p tcp --dport 3128 -m length --length :350 -j DROP

   # если пакет больше 350 байт то пропускаем
   iptables -A LENGTH -p tcp --dport 3128 -j ACCEPT

   # разрешаем подключение на порт 3128
   iptables -A INPUT -p tcp --syn --dport 3128 -j ACCEPT

   # в установленом соединении проверяем пакеты на запрос GET --hex- string "|47 45 54 20|"
   # если есть такой пакет то направляем его в цепочку LENGTH для проверки длины пакета
   iptables -A INPUT -p tcp --dport 3128 -m state --state ESTABLISHED -m string --algo kmp \
      --hex-string "|47 45 54 20|" --from 52 --to 56 -j LENGTH

   iptables -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
   iptables -A OUTPUT -p all -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT


Представленный пример опробован  на httptunnel

URL: http://linux-online-ru.blogspot.com/2010/02/http-proxy-http-...
Обсуждается: http://www.opennet.ru/tips/info/2290.shtml

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Защищаем http-proxy от пробрасывания http-туннеля средствами..."  +/
Сообщение от User294 (ok) on 09-Фев-10, 22:04 
> http-заголовок пакета имеет аномально маленький
> размер, порядка 80-90 байт

Спасибо, Кэп. Мы учтем что вы и некоторые иные админы любите лишний бесполезный траффик и так и быть доработаем напильником свои тулзы на случай встреч с вами и вашими тулсами. Впрочем в заголовки тоже в принципе можно трафф запихнуть если захотеть :-). Интересное наблюдение по части аномалий, жаль что применение как всегда, ограничительное.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "Защищаем http-proxy от пробрасывания http-туннеля средствами..."  +/
Сообщение от Аноним (??) on 09-Фев-10, 23:12 
http-proxy можно использовать честно - браузером.
При этом постить и скачивать гигабайты.
Правда, нужен союзник с другой стороны, но он так и так нужен.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "Защищаем http-proxy от пробрасывания http-туннеля средствами..."  +/
Сообщение от mike_t on 10-Фев-10, 08:22 
а не проще тогда на проксе зарезать?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "Защищаем http-proxy от пробрасывания http-туннеля средствами..."  +/
Сообщение от Вопросец on 10-Фев-10, 14:54 
А подскажите, есть ли возможность фаерволом или в самой прокси подрезать возможность коннекта к удалённому openvpn серверу? И можно ли это подмутить при помощи ipfw?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "Защищаем http-proxy от пробрасывания http-туннеля средствами..."  +/
Сообщение от mr_gfd on 10-Фев-10, 19:36 
>А подскажите, есть ли возможность фаерволом или в самой прокси подрезать возможность
>коннекта к удалённому openvpn серверу? И можно ли это подмутить при
>помощи ipfw?

man mg_tag

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "Защищаем http-proxy от пробрасывания http-туннеля средствами..."  +/
Сообщение от mr_gfd on 10-Фев-10, 19:36 
>>А подскажите, есть ли возможность фаерволом или в самой прокси подрезать возможность
>>коннекта к удалённому openvpn серверу? И можно ли это подмутить при
>>помощи ipfw?
>
>man mg_tag

ng_tag //fixed

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

7. "Защищаем http-proxy от пробрасывания http-туннеля средствами..."  +/
Сообщение от azure (ok) on 13-Фев-10, 23:02 
не режьте таким как я единственную возможность достукиваться до домашней машины и рабочих серверов!
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

8. "Защищаем http-proxy от пробрасывания http-туннеля средствами..."  +/
Сообщение от GlooM (??) on 20-Фев-10, 02:17 
А если HTTP METHOD CONNECT забанить для 80-го порта разве соединение с прокси и туннелями установится? По идее, если заблочен метод-коннект, то должны работать только анонимайзеры, поскольку это обычные веб-страницы. А вот их уже одолеть можно только банлистом по названиям...
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру