pf

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
4 messages Options
Reply | Threaded
Open this post in threaded view
|

pf

nsenkov
Здравствуйте
Есть сервер с установленным squid с аунтификацией в домене windows
Чтобы пользователи не могли обойти прокси сервер решил отключить нат в
правилах pf
но возникла проблема с почтой Некотрые пользователи используют outlook
которым нужен доступ
к своим pop серверам Как правильно настроить pf чтобы при включенном нате
они не могли использовать
пиринговых клиентов или  любых других программ скачивания кроме outlook bat
и.т.д
Заранее благодарю
Николай


Reply | Threaded
Open this post in threaded view
|

Re: pf

Andrew Jelly
Hello nsenkov,

Saturday, January 15, 2000, 1:43:00 AM, you wrote:

nsr> Здравствуйте
nsr> Есть сервер с установленным squid с аунтификацией в домене windows
nsr> Чтобы пользователи не могли обойти прокси сервер решил отключить нат в
nsr> правилах pf
nsr> но возникла проблема с почтой Некотрые пользователи используют outlook
nsr> которым нужен доступ
nsr> к своим pop серверам Как правильно настроить pf чтобы при включенном нате
nsr> они не могли использовать
nsr> пиринговых клиентов или  любых других программ скачивания кроме outlook bat

IMHO, по достаточно большому счету  - никак. Но довольно сильным
ходом будет установить pop3/smtp-proxy наверное :)

http://www.unixcities.com/pop3-and-smtp-proxy/ ?


--
Best regards,
 Andrew                            mailto:[hidden email]


Reply | Threaded
Open this post in threaded view
|

Re: pf

Stanislav Kruchinin
In reply to this post by nsenkov
[hidden email], 15.01.2000 3:43:00:

> Здравствуйте Есть сервер с установленным squid с аунтификацией в
> домене windows Чтобы пользователи не могли обойти прокси сервер решил
> отключить нат в правилах pf но возникла проблема с почтой Некотрые
> пользователи используют outlook которым нужен доступ к своим pop
> серверам

Если нужна только почта, то действительно проще выключить нат и
поставить pop3/smtp-proxy.

> Как правильно настроить pf чтобы при включенном нате они не
> могли использовать пиринговых клиентов или любых других программ
> скачивания кроме outlook bat и.т.д Заранее благодарю Николай

Одним pfом тут не обойтись, т.к. для более или менее надежного
блокирования p2p нужна фильтрация на прикладном уровне.

1) Найти в интернете список стандартных портов, используемых P2P-сетями
и блокировать соединения на них. Возможно, лучше будет сделать
ограничение по скорости, т.к. многие p2p-клиенты начинают искать
сервера, использующие нестандартные порты, когда не могут соединиться по
стандартным.

2) p2p-клиенты умеют туннелировать в HTTP. Соответственно, можно
отрубить сквидом какие-то заголовки HTTP 1.1 (Host: прежде всего).
Составить список разрешенных сайтов, использующих SSL и разрешить метод
CONNECT только к этим сайтам, к портам 443, 563.


Reply | Threaded
Open this post in threaded view
|

Re: pf

Pavel Labushev
In reply to this post by nsenkov


[hidden email] wrote:
>
> Здравствуйте
> Есть сервер с установленным squid с аунтификацией в домене windows
> Чтобы пользователи не могли обойти прокси сервер решил отключить нат в
> правилах pf

Не вижу явной связи между натом и возможностью обойти прокси. Если
делать nat без pass, то правила фильтрации на нат распространяются.
Можно блокировать проходящие пакеты от пользователей на внутреннем
ифейсе, например.

> но возникла проблема с почтой Некотрые пользователи используют outlook
> которым нужен доступ
> к своим pop серверам Как правильно настроить pf чтобы при включенном нате
> они не могли использовать
> пиринговых клиентов или  любых других программ скачивания кроме outlook bat
> и.т.д

Если пользователей относительно немного, и есть возможность составить
список всех адресов нужных почтовых серверов, можно разрешать соединения
только на заранее известные пары адрес:порт.