The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

Защищаем http-proxy от пробрасывания http-туннеля средствами iptables
При пробрасывании http-туннеля через http-прокси, http-заголовок пакета имеет
аномально маленький размер, порядка 80-90 байт, так как передается лишь
минимальный набор данных. Заголовок передаваемых браузером запросов обычно не
бывает меньше 350 байт. Основываясь на данной особенности можно отфильтровать
проброшенных поверх http-прокси туннели.

   # политика по умолчанию
   iptables -P INPUT DROP
   iptables -P OUTPUT DROP
   iptables -P FORWARD DROP

   # создаём новую цепочку LENGTH
   iptables -N LENGTH

   # проверяем длину пакета, если меньше 350 байт то блокируем
   iptables -A LENGTH -p tcp --dport 3128 -m length --length :350 -j DROP

   # если пакет больше 350 байт то пропускаем
   iptables -A LENGTH -p tcp --dport 3128 -j ACCEPT

   # разрешаем подключение на порт 3128
   iptables -A INPUT -p tcp --syn --dport 3128 -j ACCEPT

   # в установленом соединении проверяем пакеты на запрос GET --hex- string "|47 45 54 20|" 
   # если есть такой пакет то направляем его в цепочку LENGTH для проверки длины пакета
   iptables -A INPUT -p tcp --dport 3128 -m state --state ESTABLISHED -m string --algo kmp \
      --hex-string "|47 45 54 20|" --from 52 --to 56 -j LENGTH

   iptables -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
   iptables -A OUTPUT -p all -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT


Представленный пример опробован  на httptunnel 
 
09.02.2010 , Автор: Владимир , Источник: http://linux-online-ru.blogspot.com...
Ключи: tunnel, iptables, proxy, block, limit / Лицензия: CC-BY
Раздел:    Корень / Администратору / Сетевые сервисы / Прокси сервер Squid / ACL, ограничения трафика и пользователей

Обсуждение [ RSS ]
 
  • 1.1, User294, 22:04, 09/02/2010 [ответить] [смотреть все]
  • +/
    > http-заголовок пакета имеет аномально маленький
    > размер, порядка 80-90 байт

    Спасибо, Кэп. Мы учтем что вы и некоторые иные админы любите лишний бесполезный траффик и так и быть доработаем напильником свои тулзы на случай встреч с вами и вашими тулсами. Впрочем в заголовки тоже в принципе можно трафф запихнуть если захотеть :-). Интересное наблюдение по части аномалий, жаль что применение как всегда, ограничительное.

     
  • 1.2, Аноним, 23:12, 09/02/2010 [ответить] [смотреть все]
  • +/
    http-proxy можно использовать честно - браузером При этом постить и скачивать г... весь текст скрыт [показать]
     
  • 1.3, mike_t, 08:22, 10/02/2010 [ответить] [смотреть все]  
  • +/
    а не проще тогда на проксе зарезать?
     
  • 1.4, Вопросец, 14:54, 10/02/2010 [ответить] [смотреть все]  
  • +/
    А подскажите, есть ли возможность фаерволом или в самой прокси подрезать возможность коннекта к удалённому openvpn серверу? И можно ли это подмутить при помощи ipfw?
     
     
  • 2.5, mr_gfd, 19:36, 10/02/2010 [^] [ответить] [смотреть все]  
  • +/
    >А подскажите, есть ли возможность фаерволом или в самой прокси подрезать возможность
    >коннекта к удалённому openvpn серверу? И можно ли это подмутить при
    >помощи ipfw?

    man mg_tag

     
     
  • 3.6, mr_gfd, 19:36, 10/02/2010 [^] [ответить] [смотреть все]  
  • +/
    >>А подскажите, есть ли возможность фаерволом или в самой прокси подрезать возможность
    >>коннекта к удалённому openvpn серверу? И можно ли это подмутить при
    >>помощи ipfw?
    >
    >man mg_tag

    ng_tag //fixed

     
  • 2.7, azure, 23:02, 13/02/2010 [^] [ответить] [смотреть все]  
  • +/
    не режьте таким как я единственную возможность достукиваться до домашней машины и рабочих серверов!
     
  • 1.8, GlooM, 02:17, 20/02/2010 [ответить] [смотреть все]  
  • +/
    А если HTTP METHOD CONNECT забанить для 80-го порта разве соединение с прокси и туннелями установится? По идее, если заблочен метод-коннект, то должны работать только анонимайзеры, поскольку это обычные веб-страницы. А вот их уже одолеть можно только банлистом по названиям...
     

    Ваш комментарий
    Имя:         
    E-Mail:      
    Заголовок:
    Текст:



      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor