مشاهدة النسخة كاملة : proxy servers
qobtan_3005
19-07-2009, 12:29
السلام عليكم ورحمة الله وبركاته
احنا عندنا فى الشبكة بتاعتنا عاملين policy معينة علشان المستخدمين يقدروا يدخلوا على الانترنت
بمعنى مثلا مقفولة عندنا مواقع ال sharing وال torrents وال porn sites
بس المشكلة فيه ناس بتستخدم proxy servers to bypass our policy
وال proxy servers ديه ليه انواع كتير قوى منها ال web proxy الذى يستخدم فى ال cashing وفيه نوع تانى اسمه
ال circumventor وديه a method of defeating blocking policies implemented using proxy servers
most circumventors are also proxy servers, of varying degrees of sophistication, which effectively implement "bypass policies
كمثال الطلاب فى المدارس يمكنهم على المواقع المغلقة بناء على سياسة المدرسة مثل مواقع الشات والمواقع الاباحية الى اخره وذلك عن طريق proxy server (circumventor)
ولما حاولت اعرف شويه عن ال proxy servers لقيته انه بيستخدم random udp and tcp ports
وده يخلى من الصعب انى امكن وصول ال users الى هذه ال proxy servers
لانه اللى لاحظت انه ال user لما بيكلم ال proxy servers بيكلمه على port 80 فى الاول يعنى كانه web server عادى جدا
هل من احد عنده طريقة ممكن امنع بيها ال users من انهم يستخدموا ال proxy servers ديه
وجزاكم الله خيرا
م/ أحمد بخيت
19-07-2009, 16:11
حاول تستخدم الفاير ووووول
وظيفة الفاير ووول دا انه يحول اي Request للتصفح عليه ولما يتم التحويل عليه هو يتحكم بقى فيهم
على فكرة التجربة دي انا عاملها باستخدام فاير ووول زي سيرفر المايكروتك
انا كل اللي عملته اني ضفت رووول ف النات
الرول دا بيحول كل الطلبات عليه وهو كمان بيشتغل على انه بروكسي
ارجو ان اكون عرفت اوضح وجهة نظري
qobtan_3005
19-07-2009, 16:22
السلام عليكم ورحمة الله وبركاته
شكرا جدا على ردك بس الشبكة بتاعتى سيسكو ومش عندى firewall cisco
انا عارف الميكروتك بس لو تفهمنى حضرتك الميكروتك بيمنع المستخدمين اللى عندك انه يشتغلوا بال proxy server ازاى وانا احاول اطبقها بطرقتى فى الشبكة اللى عندى
انا بس خايف لا تكون فهمتنى غلط
انا مش بقصد ال we b cashing
وعليكم السلام ورحمة الله وبركاته
في عندك حلين ممكن تطبقهم على cisco router
CBAC Content based access control
أو
Zone based firewall
CBAC أسهل
حنعمل Application firewall وحنسميه www
حنخليه يشيك على http ويعمل reset لأي connection مش مطابقة لمواصفات http القياسية
وحنخليه كمان يعمل reset لأي connection فيها tunneling
appfw policy-name www
application http
strict-http action reset
port-misuse tunneling action reset
ip inspect name test appfw www
ip inspect name test http
حط هذا الأمر ip inspect test out على internet interface
int fa0/0
ip inspect test out
qobtan_3005
19-07-2009, 22:57
جزاك الله خيرا بس انا محتاج افهم بتفصيل الفكرة
لو تقدر تشرحها يبقى ربنا يكرمك
qobtan_3005
20-07-2009, 00:48
جزاكم الله خيرا على المشاركة
وده ملف خاص بالموضوع ده اسمه HTTP Inspection Engine
https://www.2shared.com/file/6760860/8234393b/HTTP_Inspection_Engine.html
كويس أنك لقيت cisco guide
في خدمتك إذا عندك أي إستفسار وبالتوفيق
qobtan_3005
20-07-2009, 08:08
جزاك الله خيرا اخى على اهتمامك بس دلوقتى فيه حاجة
المفروض inspection rule حطبقها على switched virtual interface موجودة على cisco 6500 catalyst
مثلا ال svi ده اسمه ال interface vlan204 ده الانترفيس اللى بيستقبل ال traffic اللى عايز اعمل inspection
ينفع كما اعتقد انى اطبقها على على هذا الانترفيس inbound
نعم ينفع وهذه المقالة من سيسكو فيها شرح واضح
https://www.cisco.com/en/US/docs/switches/lan/catalyst6500/ios/12.2SXF/native/configuration/guide/fw.html#wp1082064
أنا ما جربته على 6500 وعادة بنجربه على الراوتر لأنه أسهل في الإعدادات
في نقطة في المقالة وهيmls ip inspect خلي بالك منها
لازم يكون عندك access-list عشان CBAC يشتغل بصورة صحيحة
CBAC عبارة عن IOS Firewall فيه stateful inspection
يعني أي ترافيك طالع من الراوتر, حيقوم الراوتر بتخزين معلومات عن الترافيك مثل نوعه و source و destination
ولما يرجع الترافيك, الراوتر حيشيك عنده في الجدول ويقارن, هل هذا الترافيك طلع من عندي ولا لأ
إذا الترافيك فعلا طالع من الراوتر, الراوتر حيقوم بعمل فتحات او ثقوب في Access-list عشان يسمح لهذا الترافيك انه يرجع ولكن لو هذا الترافيك ما في اي معلومات عنه في الجدول, Access-list حتمنعه
int fa0/0
ip inspect test out
ip access-group 100 in
م/ أحمد بخيت
20-07-2009, 10:29
السلام عليكم ورحمة الله وبركاته
شكرا جدا على ردك بس الشبكة بتاعتى سيسكو ومش عندى firewall cisco
انا عارف الميكروتك بس لو تفهمنى حضرتك الميكروتك بيمنع المستخدمين اللى عندك انه يشتغلوا بال proxy server ازاى وانا احاول اطبقها بطرقتى فى الشبكة اللى عندى
انا بس خايف لا تكون فهمتنى غلط
انا مش بقصد ال we b cashing
انت اكتب النص دا
ip firewall nat chain=prerouting protocol=tcp dst-port=80 action redirect to-ports=3128
حيث ان البورت 3128 هو بروت السيرفر البروكسي بتاعك
وكمان حاول تضيف اي بي السيرفر من خلال الباند dst-address
:ah49:
Powered by vBulletin® Version 4.2.5 Copyright © 2024 vBulletin Solutions, Inc. All rights reserved, TranZ by Almuhajir