При попытки выйти на Яндекс у меня вылезло такое сообщение:К сожалению, этот прокси-сервер является "открытым" и "анонимным", то есть любой пользователь интернета может им воспользоваться совершенно безответственно. Мы вынуждены запретить доступ через такие прокси-сервера, потому что они широко используются для атак на нас.
Прокси работает под FreeBsd, где чего надо поменять, чтобы он перестал быть открытым??? И как так получилось что он им стал?
>При попытки выйти на Яндекс у меня вылезло такое сообщение:
>
>К сожалению, этот прокси-сервер является "открытым" и "анонимным", то есть любой пользователь
>интернета может им воспользоваться совершенно безответственно. Мы вынуждены запретить доступ через
>такие прокси-сервера, потому что они широко используются для атак на нас.
>
>
>Прокси работает под FreeBsd, где чего надо поменять, чтобы он перестал быть
>открытым??? И как так получилось что он им стал?это значит что твой сквид позволяет всем себя использовать .(по умолчанию все открыто)
смотри настройки конфига и пропиши доступ только твоей локальной сетиacl all src 0.0.0.0/0.0.0.0
acl inet_users src 10.131.2.0/255.255.255.0
... ^^^^^^^^^^ твоя сетка
http_access allow inet_users
http_access deny allпоставь сначала это и проверь свой яндекс
Это диагноз...
Если ты попал в список Анонимных проксей, о тебе поможет только смена IP, а возможно и сетки.
Не забудь http_access выдать только своей сетке (это на будущее)../squid
>Это диагноз...
>Если ты попал в список Анонимных проксей, о тебе поможет только смена
>IP, а возможно и сетки.
>Не забудь http_access выдать только своей сетке (это на будущее).
>
>./squidвозможно достаточно будет сделать только то, что предлагалось в предыдущем посте, т.к. открытый прокси - это тот, который предоставляет доступ для всех , а анонимный - который не хранит информацию (и не предоставляет ее другим) о пользователе.
вот и все, а смена IP - это глупости :)))
>вот и все, а смена IP - это глупости :)))Позволю себе не согласится :)
Вопрос:
Каким образом удалённый хост знает что пользователь ходит через открытый прокси сервер?Ответ:
Вариантов только ДВА!!!
1) СТАТИЧЕСКМЙ :: Сравнивать src_addr со списком адрессов открытых проксей
2) ДИНАМИЧЕСКИЙ :: Проверять в "online" доступна ли прокся из внеА теперь рассомтрим по подробнее реализацию обоих вариантов.
Относительно первого - все просто, в httpd_conf в deny заливается список IP адрессов и при совпадении генерится нужный отлуп. Дешево и сердито.Второй вариант - чтобы проверить является ли прокся открытой первым делом нужно выяснить на какой порт она отвечает, а вариантов тут масса (80,88,3128,3129,8000,8080,8888 - это только стандартные). То есть - надо попробовать "зателнетится" по всем перечесленным портам. После определения порта прокси нужно проверить а открыта ли она, для этого надо ей GET послать и спросить че-нить из мира.
Учитывая тот факт - что шаровые прокси обычно очень тормознутые, то несложно посчитать, что для выяснения - является ли прокси шаровым или нет необходимо по меньшей мере минуты 3.
Дальше - хуже, представьте себе как нагнется канал - если на каждый приходящий "новый IP" запускать глюкавый скриптец - который будет пытаться приконектится к хосту по десятку портов? Если на сайт попадает больше 200 "уникальных" IP в день - то все умрет :)
И я очень сильно сомневаюсь что на сайте просят подождать минуты 3 - пока они раздуплятся - с шаровой прокси к ним пришли или нет.
ИТОГО - можно гарантировано утверждать - что люди используют именно СТАТИЧЕСКИЙ вариант.
Ну а теперь вернемся собственно к вопросу: Ввверху советовали как закрыть доступ из вне к своей проксе. Это все понятно. Но если уже прокся попала в список анонимных - то никто её уже оттуда не вычернет, в ближайшие пол-года точно :))
Кроме смены IP я не вижу ни одного здравого решения.
Уважаемый Tathagatha, хотелось бы услышать Ваш более расширеный коментарий к фразе "смена IP - это глупости".
--
./squid
Возможно я и неверно скажу, но проверить стоит.
Есть ещё один вариант, почему могут обрезать - это запрет на передачу определённых заголовков в запросах. Так называемая anonymize_header секция.
Если там выставлен paranoid - режим обрезания заголовков, то он так же может считаться "неблагонадёжным и анонимно-гаТким" :))
Не плохо было бы проверить и этот вариант.
Ведь включить в скрипт проверки наличие определённых заголовков - не составляет проблемы.
>При попытки выйти на Яндекс у меня вылезло такое сообщение:
>
>К сожалению, этот прокси-сервер является "открытым" и "анонимным", то есть любой пользователь
>интернета может им воспользоваться совершенно безответственно. Мы вынуждены запретить доступ через
>такие прокси-сервера, потому что они широко используются для атак на нас.
>
>
>Прокси работает под FreeBsd, где чего надо поменять, чтобы он перестал быть
>открытым??? И как так получилось что он им стал?
некоторое время назад мне пришло подобное письмо от провайдера, сообщающее об открытости моего сквида, что в корне противоречит договору. Грозились даже отключить нас от интернету, если это не будет прикрыто.... Покопавшись немного в faq'ах, было выяснено, что в директиве LISTEN можно указывать интерфейс, который сквидом будет прослушиваться... В результате в squid.conf было написано
Listen 192.168.1.1:3128
и nmap -sT мой_внешний_ип перестал показывать искомый порт 3128...
А в техподдержку Яндекса отправь письмо с сообщением о закрытости своей прокси. И все будет -- там тоже люди работают :)
Покопавшись немного в faq'ах,
>было выяснено, что в директиве LISTEN можно указывать интерфейс, который сквидом
>будет прослушиваться... В результате в squid.conf было написано
>Listen 192.168.1.1:3128Всё это указывается в ПЕРВОЙ :)) строчке конфига
http_port 192.168.1.1:3128
И всё. Ваш Squid висит только в локале :)))
>и nmap -sT мой_внешний_ип перестал показывать искомый порт 3128...Можете проверить хоть nmap -P0 -F -O <you_external_ip> -vv
:))Всех С Новым Годом!!!