المساعد الشخصي الرقمي

مشاهدة النسخة كاملة : proxy servers


qobtan_3005
19-07-2009, 12:29
السلام عليكم ورحمة الله وبركاته

احنا عندنا فى الشبكة بتاعتنا عاملين policy معينة علشان المستخدمين يقدروا يدخلوا على الانترنت
بمعنى مثلا مقفولة عندنا مواقع ال sharing وال torrents وال porn sites

بس المشكلة فيه ناس بتستخدم proxy servers to bypass our policy

وال proxy servers ديه ليه انواع كتير قوى منها ال web proxy الذى يستخدم فى ال cashing وفيه نوع تانى اسمه

ال circumventor وديه a method of defeating blocking policies implemented using proxy servers
most circumventors are also proxy servers, of varying degrees of sophistication, which effectively implement "bypass policies
كمثال الطلاب فى المدارس يمكنهم على المواقع المغلقة بناء على سياسة المدرسة مثل مواقع الشات والمواقع الاباحية الى اخره وذلك عن طريق proxy server (circumventor)

ولما حاولت اعرف شويه عن ال proxy servers لقيته انه بيستخدم random udp and tcp ports
وده يخلى من الصعب انى امكن وصول ال users الى هذه ال proxy servers
لانه اللى لاحظت انه ال user لما بيكلم ال proxy servers بيكلمه على port 80 فى الاول يعنى كانه web server عادى جدا


هل من احد عنده طريقة ممكن امنع بيها ال users من انهم يستخدموا ال proxy servers ديه


وجزاكم الله خيرا
م/ أحمد بخيت
19-07-2009, 16:11
حاول تستخدم الفاير ووووول
وظيفة الفاير ووول دا انه يحول اي Request للتصفح عليه ولما يتم التحويل عليه هو يتحكم بقى فيهم
على فكرة التجربة دي انا عاملها باستخدام فاير ووول زي سيرفر المايكروتك
انا كل اللي عملته اني ضفت رووول ف النات
الرول دا بيحول كل الطلبات عليه وهو كمان بيشتغل على انه بروكسي
ارجو ان اكون عرفت اوضح وجهة نظري
qobtan_3005
19-07-2009, 16:22
السلام عليكم ورحمة الله وبركاته

شكرا جدا على ردك بس الشبكة بتاعتى سيسكو ومش عندى firewall cisco

انا عارف الميكروتك بس لو تفهمنى حضرتك الميكروتك بيمنع المستخدمين اللى عندك انه يشتغلوا بال proxy server ازاى وانا احاول اطبقها بطرقتى فى الشبكة اللى عندى

انا بس خايف لا تكون فهمتنى غلط

انا مش بقصد ال we b cashing
minimax
19-07-2009, 18:55
وعليكم السلام ورحمة الله وبركاته

في عندك حلين ممكن تطبقهم على cisco router

CBAC Content based access control
أو
Zone based firewall

CBAC أسهل



حنعمل Application firewall وحنسميه www
حنخليه يشيك على http ويعمل reset لأي connection مش مطابقة لمواصفات http القياسية
وحنخليه كمان يعمل reset لأي connection فيها tunneling

appfw policy-name www
application http
strict-http action reset
port-misuse tunneling action reset




ip inspect name test appfw www
ip inspect name test http


حط هذا الأمر ip inspect test out على internet interface

int fa0/0
ip inspect test out
qobtan_3005
19-07-2009, 22:57
جزاك الله خيرا بس انا محتاج افهم بتفصيل الفكرة

لو تقدر تشرحها يبقى ربنا يكرمك
qobtan_3005
20-07-2009, 00:48
جزاكم الله خيرا على المشاركة
وده ملف خاص بالموضوع ده اسمه HTTP Inspection Engine

https://www.2shared.com/file/6760860/8234393b/HTTP_Inspection_Engine.html
minimax
20-07-2009, 07:13
كويس أنك لقيت cisco guide

في خدمتك إذا عندك أي إستفسار وبالتوفيق
qobtan_3005
20-07-2009, 08:08
جزاك الله خيرا اخى على اهتمامك بس دلوقتى فيه حاجة

المفروض inspection rule حطبقها على switched virtual interface موجودة على cisco 6500 catalyst
مثلا ال svi ده اسمه ال interface vlan204 ده الانترفيس اللى بيستقبل ال traffic اللى عايز اعمل inspection
ينفع كما اعتقد انى اطبقها على على هذا الانترفيس inbound
minimax
20-07-2009, 08:42
نعم ينفع وهذه المقالة من سيسكو فيها شرح واضح

https://www.cisco.com/en/US/docs/switches/lan/catalyst6500/ios/12.2SXF/native/configuration/guide/fw.html#wp1082064

أنا ما جربته على 6500 وعادة بنجربه على الراوتر لأنه أسهل في الإعدادات

في نقطة في المقالة وهيmls ip inspect خلي بالك منها

لازم يكون عندك access-list عشان CBAC يشتغل بصورة صحيحة

CBAC عبارة عن IOS Firewall فيه stateful inspection

يعني أي ترافيك طالع من الراوتر, حيقوم الراوتر بتخزين معلومات عن الترافيك مثل نوعه و source و destination
ولما يرجع الترافيك, الراوتر حيشيك عنده في الجدول ويقارن, هل هذا الترافيك طلع من عندي ولا لأ

إذا الترافيك فعلا طالع من الراوتر, الراوتر حيقوم بعمل فتحات او ثقوب في Access-list عشان يسمح لهذا الترافيك انه يرجع ولكن لو هذا الترافيك ما في اي معلومات عنه في الجدول, Access-list حتمنعه



int fa0/0
ip inspect test out
ip access-group 100 in
م/ أحمد بخيت
20-07-2009, 10:29
السلام عليكم ورحمة الله وبركاته

شكرا جدا على ردك بس الشبكة بتاعتى سيسكو ومش عندى firewall cisco

انا عارف الميكروتك بس لو تفهمنى حضرتك الميكروتك بيمنع المستخدمين اللى عندك انه يشتغلوا بال proxy server ازاى وانا احاول اطبقها بطرقتى فى الشبكة اللى عندى

انا بس خايف لا تكون فهمتنى غلط

انا مش بقصد ال we b cashing

انت اكتب النص دا
ip firewall nat chain=prerouting protocol=tcp dst-port=80 action redirect to-ports=3128
حيث ان البورت 3128 هو بروت السيرفر البروكسي بتاعك
وكمان حاول تضيف اي بي السيرفر من خلال الباند dst-address
:ah49: