Софт для перенаправления трафика на определённый порт

IvanOFF · 15-03-11 11:27:28

nixadmin пишет:

HTTPS должен работать нормально, если прокси прописать в браузере. Он не работает с прозрачным прокси.

А кто его на прозрачный прокси заворачивает? 443 идет напрямую, 80, 8080 и т.п. HTTP порты прозрачно заворачиваются на прокси, HTTPS через прокси верный способ хапнуть себе головняка, особенно если прокси каскадом.

kenzzzooo пишет:

про сканер, подключаемый в разрыв клавиатуры, в корне не согласен smile драйвер там вообще не нужен, достаточно 1с++

Про 1С++ не скажу, не работали, в свое время руки не дошли, теперь уже неактуально, 8.2 на дворе. Да и у многих ли 1С++ и всем ли хватит тяму его прикрутить? А вообще в АТОЛовских дровах много вкусного, если хорошо поискать то можно найти бесплатную версию (до середины 2009 года они шли бесплатно), ведь никто же не заставляет брать последнюю версию дров wink , хотя цена вполне вменяема, особенно если кроме сканера ШК требуется подключать другое торговое оборудование.

nixadmin · 15-03-11 14:50:16

IvanOFF пишет:

HTTPS через прокси верный способ хапнуть себе головняка, особенно если прокси каскадом.

Ни разу не пробовал юзать HTTPS через цепочку прокси, думаю не заработает.
А с одним прокси (Squid) работало нормально, единственное неудобство - надо руками прописывать на клиенте. Прозрачно не завернёшь.

IvanOFF · 15-03-11 20:48:37

petrun пишет:

Ну и я про что? HTTPS что, фильтровать не надо? Даже википедию так читать можно.

Как??? Наберите в браузере https://ru.wikipedia.org/ или https://yandex.ru и посмотрите что будет. HTTPS вообще нет смысла заворачивать на прокси, это отдельный протокол с весьма специфичным применением, лучше всего его пускать напрямую через NAT. Также я не вижу смысла его фильтровать, так как никаких массовых и развлекательных ресурсов через него не работает.

IvanOFF · 15-03-11 21:21:56

petrun пишет:

И таких ресурсов много.

Давайте продолжим список, потом посмотрим, что там криминального.

Добавлено спустя 02 мин 53 с:

petrun пишет:

Ну оно и понятно - прозрачные прокси со стороны выглядят как атака "человек посередине".

Поэтому и думайте, что вам надо, чтобы работал HTTPS или тотально все фильтровалось. На мой взгляд, лучшим вариантом будет разрешить HTTPS только тем, кому он нужен через iptables и не заниматься глупостями, даже завернув HTTPS на прокси фильтровать вы его все равно не сможете, иначе какой тогда смысл в шифрованном соединении, если его содержимое доступно любому посреднику в цепочке.

IvanOFF · 15-03-11 23:22:34

petrun, тут соглашусь, есть такой момент. Однако мы опять таки упираемся в саму суть HTTPS, которая оставляет два варианта: запретить HTTPS или оставить его как есть. Фильтровать то, что передается по этому протоколу все равно не получится.

IvanOFF · 15-03-11 23:34:31

Автомототроллер пишет:

Да навряд ли есть смысл фильтровать https.

Да вы его и неотфильтруете, в этом весь смысл HTTPS, трафик в зашифрованном виде проходит все участки от сервера до браузера клиента.

IvanOFF · 15-03-11 23:37:28

Автомототроллер пишет:

Как это мне сразу в голову не пришло, что iptables умеет заворачивать конкретный ip-адрес!

Я бы сделал наоборот, завернул весь диапазон, кроме ваших с женой адресов, а то мало-ли... В подобных ситуациях лучше использовать схему "все что не разрешено - запрещено".

IvanOFF · 15-03-11 23:48:29

Для домашней да, я по привычке большими масштабами оперирую, в корпоративных сетях чем меньше пишешь руками тем лучше.

IvanOFF · 16-03-11 01:16:47

pavel2403 пишет:

И первый в этом деле МС ISA Server 2004/ Но это домен Windows!!!

ISA давно прокис, сейчас вместо него TMG, но дорогой, зараза. Для небольших сетей слишком дорогое удовольствие, туда берут что попроще: TI, UG или тот-же Squid, к которому при прямых руках AD авторизация тоже привязывается.

nixadmin · 16-03-11 11:12:45

pavel2403 пишет:

Эх... линух-way! Троллейбус, есть куча проксиков с авторизацией в домене и с импортом учеток с контроллера домена, один раз прописал для домена, а потом только выбирай из списка и крути им что хочешь.

Интересно, какие мощности нужны что бы проксировать несколько тысячь работающих хостов?
Откройте для себя биллинговые системы с LDAP-авторизацией, и управлением сетью через RADIUS.

pavel2403 пишет:

И первый в этом деле МС ISA Server 2004/ Но это домен Windows!!! Луноходам пока о таком удобстве можно только мечтать!!!

Сколько восклицательных знаков smile Невольно закрадываются мысли о фанатичной преданности МС.
А может Вы мне раскажети, какие мощности потребляет ISA, управляя и учитывая доступ к 10ГБитному аплинку, хотябы пары тысяч клиентских узлов?
В чём приимущества ISA по с равнению с решениямия того же NetUP или IDESCO?

Для средних сетей - какой экономический смысл ISA? Когда есть бесплатные биллинговые решения типа abills или stargazer (тоже интегрируются в AD посредствам LDAP).

Ну и для самых маленьких - Squid в неконкуренции smile

IvanOFF · 16-03-11 15:41:43

Господа, вы снова валите все в одну кучу. Не надо путать корпоративный прокси и биллинг, это принципиально разные вещи. Биллинговые системы требуются провайдерам и иже с ними (например админам офисных центров и т.п.). В корпоративной среде биллинг как корове седло, там более актуально кэширование и фильтрация получаемого контента.

nixadmin пишет:

Интересно, какие мощности нужны что бы проксировать несколько тысячь работающих хостов?

Хорошие мощности нужны, но это того стоит, обычно в корпоративных сетях из кэша отдается до 30-40% траффика, еще 15-20% экономится за счет блокировки баннеров и т.п. херни. В итоге корпоративный прокси позволяет примерно вдвое снизить нагрузку на канал, для крупных организаций это весьма ощутимый плюс.

Что касается софта, то TMG выходит на первый план для сетей с сотней ПК и более, там это становится экономически выгодно. В меньших сетях смысла тратиться на него нет, там в зависимости от задач и квалификации админа используются либо открытые решения, либо недорогие прокси типа Траффик Инспектора или ЮзерГейта.

Форум StopLinux

Объявление

#26 15-03-11 11:27:28

Re: Софт для перенаправления трафика на определённый порт

#27 15-03-11 14:50:16

Re: Софт для перенаправления трафика на определённый порт

#28 15-03-11 20:48:37

Re: Софт для перенаправления трафика на определённый порт

#29 15-03-11 21:21:56

Re: Софт для перенаправления трафика на определённый порт

#30 15-03-11 23:22:34

Re: Софт для перенаправления трафика на определённый порт

#31 15-03-11 23:34:31

Re: Софт для перенаправления трафика на определённый порт

#32 15-03-11 23:37:28

Re: Софт для перенаправления трафика на определённый порт

#33 15-03-11 23:48:29

Re: Софт для перенаправления трафика на определённый порт

#34 16-03-11 01:16:47

Re: Софт для перенаправления трафика на определённый порт

#35 16-03-11 11:12:45

Re: Софт для перенаправления трафика на определённый порт

#36 16-03-11 15:41:43

Re: Софт для перенаправления трафика на определённый порт

Подвал форума