我刚刚安装了一个鱿鱼代理服务器。 该服务器有两个接口。 eth0连接到路由器,eth1连接到所有其他机器连接的交换机。 服务器也有一个DHCP服务器。 我已经在机器上设置Squid3,当我configuration我的浏览器使用该代理(我的networking设置,如果我设置的IP和端口),事情的工作。 但我需要它作为一个透明的代理,我不必设置浏览器,所有的请求将通过代理。 可以通过设置IPtable规则来完成吗? 一些文章谈论改变sysctl.conf。 我已经从很多教程中尝试了Iptable规则,但都没有工作。 请给我一个工作规则来添加。 谢谢。 PS:服务器是Ubuntu 12.10 PS2:如果可以,请告诉我如何为ufw添加这些规则
我需要在这个正确的方向推动: 情况: FortiGuardnetworkingfilter使FortiOS4.0 FortiGate设备。 我阻止一个类别,让我们说“免费下载”(例子)。 现在,FortiGuard决定提供免费软件下载的网站被封锁了。 但是,我想要一个具体的,为所有用户说“somefreewaresite.com”。 因此,我input域名somefreewaresite.com的pipe理覆盖,范围“configuration文件”(整个configuration文件),允许非现场链接。 现在,一些freewaresite.com是可访问的。 但是,“www.somefreewaresite.com”仍然被阻止。 我可以添加另一个覆盖,但这个网站也使用了一堆其他子域(down1.somefreewaresite.com,images.somefreewaresite.com)。 我想允许“somefreewaresite.com”的所有子域名。 我试图添加通配覆盖(* .somefreewaresite.com),但子域仍然不断被阻止! 题: 如何为域及其所有子域添加pipe理覆盖? 我相信我错过了一些小细节,感谢所有的帮助。
在最后的日子里,我的Apache被来自代理的许多连接所攻击。 我已经确定了来源,但不能有效地阻止攻击。 攻击者似乎正在使用幽灵或这个变种攻击我的Apache在80端口。 我安装了nginx和varnish,但不足以支持额外的负载。 我还在iptables中添加了一个规则来丢弃包含string“X-Forwarded-For”的数据包,但不会阻塞所有的代理。 有没有人有build议?
上游指令是否可以指定一个HTTP代理来路由这些请求? 有些东西是: upstream external { server example.com; proxy localhost:3128; }
我的目标是什么:知道员工在互联网上看什么(页面,多长时间等等;没有caching)。 我所做的:在openBSD上安装squid 问题:我看到整个stream量(tcpdump),但我不能将它redirect到鱿鱼 我如何连接它: [ internet ] | [ switch with port mirroring ] => [ squid server ] | [ LAN ] 我的鱿鱼服务器有两个网卡:sis0 IP地址10.0.0.100(pipe理连接)和rl0没有IP地址和promisc模式(没有桥;整个stream量去那个接口)。 我的pf.conf: pass # establish keep-state block in on ! lo0 proto tcp to port 6000:6010 pass in on rl0 proto tcp from any to any port {80 443 3128 8080} […]
对于我的IT安全课暑期项目,我们必须以不同的方式规避学校/公司networking上的安全措施设置,并解释如何检测和避免这些黑客行为。 其中一个话题是(请原谅我的翻译不好): 阿尔伯特与他的笔记本电脑连接到学校networking。 他只能通过学校过滤代理访问万维网。 此代理configuration为只允许HTTP(TCP 80)和HTTPS(443)请求,并且某些网站(比如www.forbidden-forum.com)被过滤掉。 ICMP回应请求/回复是允许的。 阿尔伯特可以使用什么技巧从学校networking访问www.forbidden-forum.com? networking和系统pipe理员如何检测/防止这些技巧? 现在我不要求这个练习的答案 (这将会使我join这个课程的整个观点并没有教会我)。 到目前为止,我想到了以下几个技巧: 使用ICMP隧道。 通过监视exception高的ICMP帧,可以轻松检测到。 从手机分享互联网连接。 很难发现,特别是如果pipe理员没有对学生电脑的pipe理权限。 在443 TCP端口上使用VPN。 可以通过监视到特定主机(VPN服务器)的exception高数量的443stream量来检测,但很难,因为它可能是合法的stream量。 pipe理员可以尝试使用networking浏览器连接到相同的主机,但可以检测到它不是一个适当的Web服务器。 有一个外部Web服务器,充当远程浏览器 ,将所有内容redirect到www.forbidden-forum.com。 我的问题实际上是关于最后一点。 我认为有可能有这样做的软件,但它将不得不: 根据需要连接到www.forbidden-forum.com replace响应文档/ javascript代码中的所有URL以重新映射到自身,使得Albert的计算机从未实际尝试直接到达www.forbidden-forum.com。 能够将replace的url翻译为原来的url。 实际上,我希望能够在学校访客networking(具有类似的限制)的项目演示中展示这个PoC,但是我真的很想避免自己“开发”一些东西。 我的开发人员的技能实际上并不好,我想知道:有没有一种软件能够做到这一点? 也许一个Apache模块或configuration?
我正在尝试为所有客户端请求实现一个临时的公告页面,这意味着此页面将在几秒钟后消失,并且URL将回到原始客户端请求。 我也尝试perl下面的url_rewrite_program和deny_info(&allow localhost)acl,但都失败了。 有没有人有这个更好的主意? 我真的需要你的帮助。 谢谢! #!/usr/bin/perl use strict; use warnings; my @X; my $url=""; $| = 1; while (<>) { @X = split; $url = $X[0]; print "302:http://announcement.txt\n"; sleep 5; print "$url\n"; }
我有一个使用Squid或类似的HTTP代理,并将代理configuration为需要代理身份validation。 众所周知,代理authentication在拦截模式下不起作用。 我也有很多的移动客户端。 我目前正在使用WPAD来configuration这些设备,但是最近的一个回答提醒我这会引起安全问题。 还有什么其他方法可以在客户机上configuration代理,这些代理也必须在外部networking上可用?
我有我的白名单设置,一切似乎是完美的。 除了一件事。 一些网站托pipe他们的资产在某种types的CDN(内部或外部)。 因此,某些网站不会正确加载某些元素,比如说CSS。 我最接近的是这样的: acl myreferer referer_regex -i ^ http://www.example.com http_access allow myreferer 但是这仅适用于单个站点。 我的白名单超过了100个网站。 如何确保鱿鱼加载网站及其所涉及的所有其他内容,虽然它不在白名单中? 这可能吗?
CONTEXT 我最近分配了一个包含大约100台客户端计算机的公司networking。 整个networking有一个活动目录域(2003function级别)。 用户使用两个浏览器:IE和Firefox 我必须从正常的代理(在每台机器上configuration)切换到透明代理,所以我必须从IE和Firefox中删除代理设置(我已经实现了IE的GPO没有问题) 问题 我想要使用GPO或类似的禁用代理在Firefox中,我抬头看着谷歌,但没有运气 机会 该公司位于一个单一的网站,所以执行解决scheme的行政努力必须小于直接更改每台计算机上的设置。 先谢谢你