PDA

Bekijk de volledige versie : Как обойти запреты в корпоративной сети?



ghost38
19-10-2008, 18:26
Привет всем!
Дома есть wl500g delux с последней прошивкой Олега(1.9.2.7-10).
Соединение по pptp, реальный IP-адрес в WAN-е.
Вставлена флэшка, настроен FTP-сервер, доступный из интернета.
Все работает отлично.
Но на работе злые админы закрыли многие интересные сайты и в том числе login.icq.com :(
Можно конечно пользоваться анонимными проксями, но они долго не живут :(
Поэтому, появилась мысль организовать на моем домашнем роуте что-то типа прокси-сервера с авторизацией, через который я мог бы с работы серфить куда хочу и пользоваться асей.
Как это можно сделать? Сам я полный лох в линухе :(
Хотелось бы пошаговую инструкцию, что куда и как загрузить, как настроить и как запускать.
В теме по про "инструкцию с нуля" этого не нашел...
Читал в форуме тему по 3proxy( http://wl500g.info/showthread.php?t=10201&highlight=3proxy ), чувствую что это то что нужно, но там люди понимающие и инструкцию не приложили как устанавливать :(
Пытался разобратся там сам, даже установил в local/sbin 3proxy, но он не запускается :( пишет not found, да и настроить не пойму как...
Если кто-то это делал или знает как, помогите плиз!

Krevetka
19-10-2008, 18:32
+1. тоже интересна данная тема.

З.Ы. насколько я понимаю еще OpenVPN подходит?

ghost38
19-10-2008, 18:45
OpenVpn подходит наверное, но тогда на работе придется настраивать VPN соединение - но в нашей сети на работе закрыты порты какие-то(или еще что-то), что VPN не подключается :( Просто недавно нужно было подсоединится к одному клиенту через VPN, для этого пришлось делать заявку админам на определенный ip-адрес для VPN, только после того, как админы заявку выполнили, получилось соединиться через VPN соединение...

al37919
19-10-2008, 21:10
я бы попробовал поднять ssh тунель: http://wl500g.info/showthread.php?t=12833 По крайней мере реализовать это проще всего.

DfDf
19-10-2008, 22:37
Трудно будет - наверняка в корпоративке закрыты ВСЕ порты, а доступ в веб - через прокси (корпоративный же). На 80м порту у роутера висит морда, ее придется перевешивать на другой порт и т.п. )

Protei
19-10-2008, 23:16
al37919 прав. Все это легко делается с помощью ssh-тунеля. Сам так пользуюсь через SOCKS 5. А dropbear можно повесить на любой порт.

ghost38
20-10-2008, 12:12
Спасибо за отклики!
8080 и 3218 точно у нас открыт, я же через анонимные прокси-сервера нормально работаю, а они обычно на этих портах. поэтому можно прокси-сервер на роутере сделать на этих портах.
Конечно можно попробовать ssh-тунель поднять, но хочется именно проксю настроить, она все-таки погибче и заодно дальше дочери смогу пообрезать ненужные ей сайты :)
Может кто-нибудь все-таки поможет с интсркуцией на установку и конфигурирование 3proxy?

Cd_spb
20-10-2008, 12:24
Конечно можно попробовать ssh-тунель поднять, но хочется именно проксю настроить, она все-таки погибче и заодно дальше дочери смогу пообрезать ненужные ей сайты :)


Одно другому не мешает.
Если Вы откроете прокси на все интерфейсы, то фактически станете тем самым анонимным прокси.
Через ssh Вы сможите прокидывать туннели, то есть полноценно заходить в домашнюю сеть - серфить, админить. Опять же - так безопасней.

skelet
20-10-2008, 12:39
Поэтому, появилась мысль организовать на моем домашнем роуте что-то типа прокси-сервера с авторизацией, через который я мог бы с работы серфить куда хочу и пользоваться асей.


подсказка: ssh tunnet + dymamic port forwarding и да пребудет с вами сила! :rolleyes:


Конечно можно попробовать ssh-тунель поднять, но хочется именно проксю настроить, она все-таки погибче и заодно дальше дочери смогу пообрезать ненужные ей сайты
dymamic port forwarding over ssh-тунель это и есть прокси! ))

пример:

на работе. ssh -D 5555 -p 8080 admin@<your dymamic ip>
в браузере в настройках сети указываете тип проски socks, 127.0.0.1:5555 и наслаждаетесь жизнью :)

vectorm
20-10-2008, 18:13
подсказка: ssh tunnet + dymamic port forwarding и да пребудет с вами сила! :rolleyes:


dymamic port forwarding over ssh-тунель это и есть прокси! ))

пример:

на работе. ssh -D 5555 -p 8080 admin@<your dymamic ip>
в браузере в настройках сети указываете тип проски socks, 127.0.0.1:5555 и наслаждаетесь жизнью :)
А потом приходит строгий дядя и по шее дает. При грамотных админах и безопасниках ничем хорошим не закончится.

Завтра сяду штраф выписывать на человек 10 за обход проксей.

skelet
20-10-2008, 19:09
А потом приходит строгий дядя и по шее дает. При грамотных админах и безопасниках ничем хорошим не закончится.

Завтра сяду штраф выписывать на человек 10 за обход проксей.


Ага, покажите мне "грамотного" одмина, который порты сквозные оставил :D:D:D

skelet
20-10-2008, 19:18
А штраф вам надо самому себе выписать, если честно, за предоставления возможности обходить прокси.

vectorm
20-10-2008, 19:43
А штраф вам надо самому себе выписать, если честно, за предоставления возможности обходить прокси.
:) а я не админ сейчас. Плюс "возможность" - это не повод пользоваться.
Уже давно идет борьба регуляторов доступа и нарушителей правил, и не всегда все можно техническими средствами сделать, банально денег не хватит. А пользователи на работе должны работать, а не заниматься личными делами (иногда стыдно за людей становится, когда логи видишь). Но это уже оффтоп пошел.

Cd_spb
20-10-2008, 20:02
Пока не возникло конкретных вопросов, чуть-чуть оффтопа

А пользователи на работе должны работать, а не заниматься личными делами (иногда стыдно за людей становится, когда логи видишь). Но это уже оффтоп пошел.

У меня админ на работе админ помог настроить канал с моего домашнего asus до работы.
Чтоб я ломал домашний линух при обучении, а не рабочий шлюз. :p

vectorm
20-10-2008, 20:08
Пока не возникло конкретных вопросов, чуть-чуть оффтопа


У меня админ на работе админ помог настроить канал с моего домашнего asus до работы.
Чтоб я ломал домашний линух при обучении, а не рабочий шлюз. :p
Ну о том и речь - хотите что-то обойти - попросите, вам не всегда откажут, везде же люди работают!
Главное - не заниматься неправомерной деятельностью.

ghost38
20-10-2008, 20:30
Пошел оффтоп...

А пользователи на работе должны работать, а не заниматься личными делами (иногда стыдно за людей становится, когда логи видишь)
Блин, да какая разница админу где и что я делаю в инете??? Я фигею вот с таких заявлений (у нас такой же админ сидит), как будто это его дело, у меня своя работа и я ее выполняю и деньги получаю по результату, а не высиживая от звонка до звонка, и не ему судить как я работаю или нет.
Мы что роботы что ли, чтобы уткнувшись в таблицы с утра до вечера ни на что не должны отлекаться, даже на личные дела?
Ведь у каждого кроме работы есть и свои интересы, семья и прочее...
Если Вы мне скажете уважаемы vectorm, что только "штрафы выписываете" и по личным делам ни на секунду в инет не вылазите, я вам не поверю :)
Да и админы, как вы правильно сказали, бывают люди, а бывают...

skelet
20-10-2008, 20:40
:) а я не админ сейчас. Плюс "возможность" - это не повод пользоваться.

По моему есть очень хорошее правило - что не запрещёно, то разрешено. Будете спорить? :)


А пользователи на работе должны работать, а не заниматься личными делами.

Ответ неверен. Если человек выполняет данную ему работу хорошо и в срок, то никого не должно касаться куда там он лазит и всё такое.

vectorm
20-10-2008, 20:58
Пошел оффтоп...

Блин, да какая разница админу где и что я делаю в инете??? Я фигею вот с таких заявлений (у нас такой же админ сидит), как будто это его дело, у меня своя работа и я ее выполняю и деньги получаю по результату, а не высиживая от звонка до звонка, и не ему судить как я работаю или нет.
Мы что роботы что ли, чтобы уткнувшись в таблицы с утра до вечера ни на что не должны отлекаться, даже на личные дела?
Ведь у каждого кроме работы есть и свои интересы, семья и прочее...
Если Вы мне скажете уважаемы vectorm, что только "штрафы выписываете" и по личным делам ни на секунду в инет не вылазите, я вам не поверю :)
Да и админы, как вы правильно сказали, бывают люди, а бывают...
А элементарная разница - прямая обязанность админов - обеспечить доступ в сеть работников для выполнения их служебных обязанностей. Все остальное - на усмотрение админов, поскольку любое послабление может выйти боком (обернуться как взломом сети снаружи, так и пересылкой конф. информации на сторону).
А правила работы пользователей в сети предприятия устанавливает руководство, и спрашивает с админов неукоснительное их выполнение!
Админу проще все разрешить и не выслушивать дикие вопли недовольных манагерш - какого у них одноклассники не открываются!
Что касается лично меня - я не только штрафы выписываю. В обязанности входит обеспечить защиту конторы со всех сторон, и если некоторые этого не понимают и думают, что они умнее, это уже не личные проблемы (вдруг кто-то из настырных неспроста так усиленно ломится, а с умыслом, либо на комп вирусов натащил пачку).

\\ смысла спорить дальше не вижу, ибо дикий оффтоп, если хотите, велком в ПМ.

vectorm
20-10-2008, 21:02
По моему есть очень хорошее правило - что не запрещёно, то разрешено. Будете спорить? :)

Есть анекдот: Если вы еще не сидели - это не ваша заслуга, а недоработка органов ;)


Ответ неверен. Если человек выполняет данную ему работу хорошо и в срок, то никого не должно касаться куда там он лазит и всё такое.
А вот и нет. Это касается работодателя, ибо он несет юридическую ответственность за пользование Вами его оборудованием.
И если кто-то из Вашей сети взломает кого-то, то таскать будут и руководство, а не только взломщика.
Кстати, согласно исследований компаний по защите информации, до 25% рабочего времени тратится работниками на личные дела, что является прямым убытком работодателя. (Дома за инет вы же сами платите и комп сами покупаете).

skelet
20-10-2008, 21:19
А вот и нет. Это касается работодателя, ибо он несет юридическую ответственность за пользование Вами его оборудованием.
ну и пущай закрывает порты, в чём проблема-то нипайму?..



Кстати, согласно исследований компаний по защите информации, до 25% рабочего времени тратится работниками на личные дела, что является прямым убытком работодателя. (Дома за инет вы же сами платите и комп сами покупаете).

видете ли... люди != роботы. Работать БЕСПРЕРЫВНО 8-9 часов к ряду ни один живой человек НЕ сможет. В лучшем случае 2/3 этого времени.

У меня даже прикол был такой, как то раз собеседуюсь в одной известной в России организации, ну там бла бла бла, общаемся, потом они спрашивают
"А сколько времени из 8 часов вы в день реально можете работать?"
ну я назвал 7, они посмеялись и один в шутку отметил, что он меня боится. :D:D

Мораль - грамотный менеджеры понимают, что 100% отдачи по времени от человека достичь нереально. И полее того, попытки этого к о н т р п р о д у к т и в н ы

ghost38
20-10-2008, 21:34
2skelet - респект!
Мы с Вами мыслим практически одинаково :)

vectorm
20-10-2008, 22:17
:) Требования работодателя не всегда совпадают с требованиями работника.

По теме: Для того, чтобы обход прокси был удачным, софт должен соответствовать нескольким требованиям (все зависит от типа прокси-сервера):
1. Соединение должно идти внутри туннеля.
2. Туннель должен создаваться методом, который разрешен на прокси, лучше прикидываться браузером.
Соответственно, в общем случае, надо обеспечить на роутере работу например OpenVPN через любой стандартный порт, например 443.
Но проблема в том, что стандартные SSH клиенты выдают себя при подключении, в том числе и putty.

KanycTa
21-10-2008, 04:05
Зачем нужны проблемы с тунелями? Не проще ле поставить сквид? У меня такая же ситуация, висит сквид, на порту 4919 (при поиске доступных портов, он оказался открытым) и хожу по инету через него

vectorm
21-10-2008, 08:43
Зачем нужны проблемы с тунелями? Не проще ле поставить сквид? У меня такая же ситуация, висит сквид, на порту 4919 (при поиске доступных портов, он оказался открытым) и хожу по инету через него
Это сомтря какие пограничные маршрутизаторы используются. Умные режут все коннекты нитуда по ненужным протоколам.

ghost38
21-10-2008, 13:12
Зачем нужны проблемы с тунелями? Не проще ле поставить сквид? У меня такая же ситуация, висит сквид, на порту 4919 (при поиске доступных портов, он оказался открытым) и хожу по инету через него
Ну так давай напиши что, как, откуда установить, как настроить.
Только поподробнее, чтобы понятно было и не только профессионалам по линуху :)

ghost38
21-10-2008, 13:17
в браузере в настройках сети указываете тип проски socks, 127.0.0.1:5555 и наслаждаетесь жизнью :)
А в опере и IE вроде нет указания на тип прокси :( Или не важно, можно указать только адрес?

megor
21-10-2008, 13:28
А в опере и IE вроде нет указания на тип прокси :( Или не важно, можно указать только адрес?

ГлЯдите внимательней на закладку Подключения, особенно на пимпу "Настройка сети", после того как её загипнотизируете, переходите к кнопке "Дополнительно".

naoumov
21-10-2008, 14:24
А этот сайтик не поможет?
http://www.pagewash.com/

skelet
21-10-2008, 18:56
Зачем нужны проблемы с тунелями? Не проще ле поставить сквид? У меня такая же ситуация, висит сквид, на порту 4919 (при поиске доступных портов, он оказался открытым) и хожу по инету через него

сравнивать глупую проксю с чистыми туннелями или впн, всё равно что запорожец с хаммером.
Вы уж простите за прямоту :)



А в опере и IE вроде нет указания на тип прокси
в ИЕ есть, в опере нет (сокс прокси она не поддерживает по врождённой глупости). В ФФ всё есть. :p

ghost38
21-10-2008, 20:43
сравнивать глупую проксю с чистыми туннелями или впн, всё равно что запорожец с хаммером.
Вы уж простите за прямоту :)



в ИЕ есть, в опере нет (сокс прокси она не поддерживает по врождённой глупости). В ФФ всё есть. :p

Да, не заметил в IE, но поменять любимую оперу(с которой уже лет 8) на тупого IE или подобное не готов ...
К тому же, хотелось кроме себя, девушку рядом порадовать ;)
Но заставлять блондинку сначала запускать putty, вводить пароль, а потом работать в броузере выше моих сил :)
С проксей же все проще - один раз настроил в броузере и работай :)
Наверное, все-таки придется разбираться с 3proxy или чем-то подобным...

skelet
21-10-2008, 21:39
ну дело хозяйское... но я бы всё же реализовывал если уж не туннели, то хотя бы vpn.

p.s. у меня опера в основном по причине феноменальной неспособности серфить через сокс прокси и полетела в корзину.

ghost38
22-10-2008, 16:05
Зачем нужны проблемы с тунелями? Не проще ле поставить сквид? У меня такая же ситуация, висит сквид, на порту 4919 (при поиске доступных портов, он оказался открытым) и хожу по инету через него

Кстати, как определить какие порты открыты наружу?

skelet
22-10-2008, 18:04
Кстати, как определить какие порты открыты наружу?

nmap.......

NailMan
24-10-2008, 16:31
Для прокси и для всего того что закрыто из конторы пользую Bitwise Tunnelier.

Ставится на комп на работе, соединяется по SSH с роутером дома, включается галка на закладке Прокси на любой порт и в броузере включается прокси на Localhost:port. Все.
Точно также и ассоциирование на локалхосте с любым портом на роутере

Protei
24-10-2008, 16:38
ну дело хозяйское... но я бы всё же реализовывал если уж не туннели, то хотя бы vpn.

p.s. у меня опера в основном по причине феноменальной неспособности серфить через сокс прокси и полетела в корзину.

Можно поставить ProxyCap или FreeCap и самому выбирать какая программа через что ходить будет. Наличие настроек прокси в той или иной программе будет уже не актуально.

skelet
24-10-2008, 18:28
Можно поставить ProxyCap или FreeCap и самому выбирать какая программа через что ходить будет. Наличие настроек прокси в той или иной программе будет уже не актуально.

Про принцип «Бритвы Оккама» слышали? Всё лишнее в мусор :)
В данном случае лишней оказалась опера, так как фф имеет больше возможностей и лучше их делает :cool:

Protei
24-10-2008, 21:16
Про принцип «Бритвы Оккама» слышали? Всё лишнее в мусор :)
В данном случае лишней оказалась опера, так как фф имеет больше возможностей и лучше их делает :cool:

Ну, бывают и более незаменимые программы. Это реальный выход из положения, когда не хватает или вообще нет настроек прокси.

Maximus43
04-12-2008, 20:52
Прошу прощения за глупый вопрос, но никак не получается сделать самому.
У меня стоит задача сделать что-то типа прокси, но для одного сайта и по прямой ссылке. Типичная ситуация, на работе закрыт доступ к каким-нибудь одноклассникам, но есть доступ к рутеру. Доступ на работе через прокси (жёстко прописано в свойствах браузера), так что squid на руторе подниматься смысла нет, браузер не может использовать две прокси подряд. Я хочу настроить так, чтобы при после добавления в hosts на рабочем компьютере что-то типа

<IP моего рутера> odnoklassniki.ru
всё заработало. Пример с одноклассниками показателен, на самом деле задача у меня сложнее, но если я смогу сделать это, то смогу сделать и остальное.
Итак, мне надо настроить редирект запросов по адресу <мой рутер>:80 на одноклассники.ру:80
Если я просто добавлю правило в nat, то ничего не получается:


iptables -t nat -A PREROUTING -i vlan1 -p tcp --dport 80 -j DNAT --to-destination одноклассники.ру:80

Судя по всему пакеты доходят до одноклассников, но ответы не приходят на рабочий компьютер. Перенаправление включил:


iptables -A INPUT -i vlan1 -j ACCEPT
iptables -A FORWARD -i vlan1 -j ACCEPT

Если делать маршрутизацию на любой сервер в локальной сети рутера, то всё работает без проблем. Но мне надо перекидывать трафик именно на внешний сервер.

Подскажите, как реализовать данную задачу.
Заранее спасибо!

2bars
04-12-2008, 21:12
iptables -t nat -A PREROUTING -p tcp -s ВашИПнаРаоботе --dport 80 -j DNAT --to-destination одноклассники.ру:80
iptables -t nat -A POSTROUTING -p tcp --dst ВашИПнаРаоботе --dport 80 -j SNAT --to-source ипроутера


я так бы сделал... (не тестил)

Каким способом вы ходите с работы на домашний роутер? как подключен роутер к интернету ?

Maximus43
04-12-2008, 21:23
Не, не получается. Сделал так:


iptables -t nat -A PREROUTING -i vlan1 -s ИП_на_работе -p tcp --dport 8080 -j DNAT --to-destination одноклассники.ру:80
iptables -t nat -A POSTROUTING -o vlan1 -p tcp --dst ИП_на_работе --dport 8080 -j SNAT --to-source ИП_рутера

Не работает. Пробую подсоединяться на ИП_рутера:8080
У рутера прямой статический IP наружу.

На порту 80 у меня админка рутера висит.

2bars
04-12-2008, 21:39
iptables -t nat -A POSTROUTING -o vlan1 -p tcp --dst одноклассники.ру --dport 80 -j SNAT --to-source ИПрутера

первое правило тоже, во втором я допустил ошибку... этого должно хватить

Maximus43
04-12-2008, 22:10
Не получается... :-(


[admin@router]$ iptables -t nat -L -n
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
VSERVER all -- 0.0.0.0/0 ИП_рутера
DNAT tcp -- ИП_на_работе 0.0.0.0/0 tcp dpt:8080 to:одноклассники.ру:80

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
SNAT tcp -- 0.0.0.0/0 одноклассники.ру tcp dpt:8080 to:ИП_рутера0


[admin@router]$ iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP all -- 0.0.0.0/0 0.0.0.0/0 state INVALID
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state NEW
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state NEW
SECURITY all -- 0.0.0.0/0 0.0.0.0/0 state NEW
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
DROP all -- 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
DROP all -- 0.0.0.0/0 0.0.0.0/0 state INVALID
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
DROP all -- 0.0.0.0/0 0.0.0.0/0
SECURITY all -- 0.0.0.0/0 0.0.0.0/0 state NEW
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ctstate DNAT
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain MACS (0 references)
target prot opt source destination

Chain SECURITY (2 references)
target prot opt source destination
RETURN tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x16/0x02 limit: avg 1/sec burst 5
RETURN tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x04 limit: avg 1/sec burst 5
RETURN udp -- 0.0.0.0/0 0.0.0.0/0 limit: avg 5/sec burst 5
RETURN icmp -- 0.0.0.0/0 0.0.0.0/0 limit: avg 5/sec burst 5
DROP all -- 0.0.0.0/0 0.0.0.0/0

Chain logaccept (0 references)
target prot opt source destination
LOG all -- 0.0.0.0/0 0.0.0.0/0 state NEW LOG flags 7 level 4 prefix `ACCEPT '
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0

Chain logdrop (0 references)
target prot opt source destination
LOG all -- 0.0.0.0/0 0.0.0.0/0 state NEW LOG flags 7 level 4 prefix `DROP '
DROP all -- 0.0.0.0/0 0.0.0.0/0


Смотрю tcpdump, пакеты до рутера доходят.
Но как надо не работает настройка.

Maximus43
05-12-2008, 12:39
Жаль, что нет ответа. :-(
Форум был моя последняя надежда. Ведь чувствую, что задача имеет простое решение.

2bars
05-12-2008, 12:49
:confused:

angel_il
05-12-2008, 15:56
Жаль, что нет ответа. :-(
Форум был моя последняя надежда. Ведь чувствую, что задача имеет простое решение.

конечно имеет. поставить например nginx и настроить его чтобы он переотдавал вам трафик с нужного ip адреса

angel_il
05-12-2008, 16:01
должно быть что то типа


server {
listen АдресРоутера;
location /vtorogodniki {
proxy_pass http://vtorogodniki.ru:80/;
proxy_set_header X-Real-IP $remote_addr;
}
}

обращаться так
http://АдресРоутера/vtorogodniki

Maximus43
05-12-2008, 21:20
А это где должно быть?
Похоже на конфиг nginx. Я не уверен, что он у меня есть. Есть только httpd.
И потом не уверен, что будут работать внутренние ссылки как надо при такой адресации.

angel_il
07-12-2008, 19:59
А это где должно быть?
Похоже на конфиг nginx. Я не уверен, что он у меня есть. Есть только httpd.
И потом не уверен, что будут работать внутренние ссылки как надо при такой адресации.

здесь поиском по слову nginx, тут выкладывали этот пакет.

Maximus43
07-12-2008, 22:18
Не, ерунда получается.
При такой настроке происходит просто переброс на ресурс. А он закрыт админами на рабочем компьютере. Мне надо, чтобы отображение ресурсов было без изменения адреса, т.е. по адресу рутера.

Maximus43
07-12-2008, 22:25
Всё, победил... :-)

Правильная настройка nginx такая:


server {
listen 80;
server_name ИП_рутера;
location /одноклассники {
proxy_pass http://ИП_одноклассники.ру:80/;
proxy_redirect on;
proxy_set_header Host одноклассники.ру;
proxy_set_header X-Real-IP $remote_addr;
}
}

В этом случае проиходит отображение нужного сайта без изменения адреса. Как раз то, что мне надо.

Спасибо за помощь!

Nitrogen
08-12-2008, 06:27
а я просто устанавливаю ssh соединение с роутером и настраиваю туннелинг в putty. через него и хожу на сайты, которые запрещены на работе.
в частности аську так запускаю

2bars
08-12-2008, 16:38
но меня по прежнему мучает вопрос по поводу DNAT... почему он гад не заработал?

Nitrogen - а как через прокси по ссш подключиться?

http://anonymouse.org/anonwww.html - можно через веб прокси ходить, но в таком случае не исключена кража паролей :)

Nitrogen
09-12-2008, 12:30
Nitrogen - а как через прокси по ссш подключиться?

у нас прокся на работе дает делать connect на 443 порт, по этому дропбир вешаю на 443 порт и цепляюсь..
ну а в путти настраиваю динамический туннель на порту 1080 и имею как бы socks-прокси на этом порту.

AVP
09-12-2008, 15:44
Правильная настройка nginx такая:
......
В этом случае проиходит отображение нужного сайта без изменения адреса. Как раз то, что мне надо.

И что работает, что-то vkontakte не хочет проходить авторизацию ?
Думаю дело в Cookie.

Maximus43
09-12-2008, 16:39
Всё работает. Надо не забыть прописать правильное значение в hosts на локальном компьютере.

2bars
09-12-2008, 17:52
у нас прокся на работе дает делать connect на 443 порт, по этому дропбир вешаю на 443 порт и цепляюсь..
ну а в путти настраиваю динамический туннель на порту 1080 и имею как бы socks-прокси на этом порту.

спасибо за уточнение :)

по поводу DNAT... провел на работе эксперимент, на убунту серверах, прокинул порты подключаюсь на один сервер, редиректит на другой... из разных подсетей :) гдето лажаюсь не могу понять где.

khasanov
21-01-2010, 19:38
Здравствуйте!

Дома имеется маршрутизатор WL-500gp v2. Через него идет интернет до компа через wi-fi. Все работает отлично, никаких нареканий. Недавно друг попросил воспользоваться моей внешкой. Для этого я поставил на своем компе прокси. Друган вбил в настройках своего браузера мой ip и нужный порт, но ему не удалось подключиться. Ну это и понятно, ведь роутер не дает прямого подключения к интернет (нету связи "друг-мой компьютер", есть только "друг-роутер"). Поэтому и до прокси ему никак не добраться. В связи с этим возникает вопрос, как поставить прокси на самом роутере? Или может есть еще методы решения данной проблемы?

P.S. Сразу говорю - дело не в портах; проверял работоспособность прокси подключением кабеля напрямую к интернет, минуя роутер - все работает отлично.

Заранее благодарю! Ответ на свой вопрос на форуме не нашел.

gromaster
25-01-2010, 20:49
у меня WL-500gP V2, тоже юзаю прокси сервер (handy cache) для раздачи своего инета нескольким друзьям из городской локалки, можно ли как то установить прокси на сам роутер, чтобы он раздавал инет, а то держать комп включенным круглые сутки надоело.

igor77777
25-01-2010, 21:48
1. Squid
2. Polipo

Эти прокси-сервера точно обсуждались на форуме. Возможно плохо искали.
Можно добавить в связку к polipo банерорезку privoxy.

Less
26-01-2010, 11:32
3proxy ещё обсуждался

khasanov
30-01-2010, 00:23
у меня WL-500gP V2, тоже юзаю прокси сервер (handy cache) для раздачи своего инета нескольким друзьям из городской локалки, можно ли как то установить прокси на сам роутер, чтобы он раздавал инет, а то держать комп включенным круглые сутки надоело.

Что же ты тогда на мой вопрос не ответил? )) Как ты открыл доступ до своего компа, минуя маршрутизатор?

gromaster
30-01-2010, 02:58
Что же ты тогда на мой вопрос не ответил? )) Как ты открыл доступ до своего компа, минуя маршрутизатор?

пробросил порт прокси через virtual server

khasanov
30-01-2010, 08:07
пробросил порт прокси через virtual server

Хмм... Странно. Я юзал программу CCProxy, и тоже открывал порты (прога юзает 808 порт). И толку ноль (( Компьютер через wi-fi подключен?

gromaster
30-01-2010, 12:52
Хмм... Странно. Я юзал программу CCProxy, и тоже открывал порты (прога юзает 808 порт). И толку ноль (( Компьютер через wi-fi подключен?

нет, кабелем. у тебя комп всегда один и тот же ip внутренний получает?

khasanov
31-01-2010, 16:01
нет, кабелем. у тебя комп всегда один и тот же ip внутренний получает?

Да, комп всегда один и юзает один и тот же сетевой ip 192.168.1.2. Подключение через wi-fi.

kylich
02-02-2010, 01:52
Много неясного в вашем вопросе. На сколько я понял у вас ethernet приходит в роутер, а вы к нему подключены по wi-fi, так? Ваш друг каким макаром хочет подключиться к вам, путем подключения к вашей wi-fi сети? или как-то по другому? если он подключается в ваше wi-fi сеть, то зачем надо обязательно его пропускать через ваш прокси, он же может сразу выйти в инет?

Если хотете получить точный ответ на свой вопрос, то опишите поточнее схему вашей сети, кто куда и как подключен. Так же есть вариант установке не самом маршрутизаторе прокси сервера, чтобы не пришлось держать ваш комп всегда включеным.

P.S. Если будите описывать вашу сеть, сразу напишите ИП какие кому выдаются, какой у вас, какой у роутера, способ подключения к инету, какой ИП у вашего друга.

P.P.S. У меня есть предположение, но для уверенности надо данные от вас. Возможно дело просто в проброске порта через ваш роутер на ваш комп. делается это так.
iptables -t nat -A PREROUTING -p tcp -d 111.111.111.111/255.255.255.255 --dport 8080 -j DNAT --to 222.222.222.222:8080
где 111.111.111.111 адрес вашего роутера, 8080 порт прокси, а 222.222.222.222 ИП вашего компа. Но тогда в настройках браузера ваш друг должен набирать не ваш ИП а ИП вашего роутера!

Но еще раз скажу, если вам не надо контролировать друга в использовании инета, то можно просто сделать чтобы руотер был для него шлюзом, и не надо никаких заморочек с прокси.

khasanov
02-02-2010, 16:25
Много неясного в вашем вопросе. На сколько я понял у вас ethernet приходит в роутер, а вы к нему подключены по wi-fi, так? Ваш друг каким макаром хочет подключиться к вам, путем подключения к вашей wi-fi сети? или как-то по другому? если он подключается в ваше wi-fi сеть, то зачем надо обязательно его пропускать через ваш прокси, он же может сразу выйти в инет?

Если хотете получить точный ответ на свой вопрос, то опишите поточнее схему вашей сети, кто куда и как подключен. Так же есть вариант установке не самом маршрутизаторе прокси сервера, чтобы не пришлось держать ваш комп всегда включеным.

P.S. Если будите описывать вашу сеть, сразу напишите ИП какие кому выдаются, какой у вас, какой у роутера, способ подключения к инету, какой ИП у вашего друга.

P.P.S. У меня есть предположение, но для уверенности надо данные от вас. Возможно дело просто в проброске порта через ваш роутер на ваш комп. делается это так.
iptables -t nat -A PREROUTING -p tcp -d 111.111.111.111/255.255.255.255 --dport 8080 -j DNAT --to 222.222.222.222:8080
где 111.111.111.111 адрес вашего роутера, 8080 порт прокси, а 222.222.222.222 ИП вашего компа. Но тогда в настройках браузера ваш друг должен набирать не ваш ИП а ИП вашего роутера!

Но еще раз скажу, если вам не надо контролировать друга в использовании инета, то можно просто сделать чтобы руотер был для него шлюзом, и не надо никаких заморочек с прокси.

Ethernet входит в роутер, а мой компьютер подключен по Wi-fi. IP от провайдера 212.107.241.135, роутер ставит себе внутренний ip 192.168.1.1, соответственно моему компу присваивает 192.168.1.2. Друг находится вообще на другом конце города и сидит на другом провайдере. Ip друга на данный момент сказать не могу.

kylich
02-02-2010, 18:50
Ethernet входит в роутер, а мой компьютер подключен по Wi-fi. IP от провайдера 212.107.241.135, роутер ставит себе внутренний ip 192.168.1.1, соответственно моему компу присваивает 192.168.1.2. Друг находится вообще на другом конце города и сидит на другом провайдере. Ip друга на данный момент сказать не могу.

а каким образом друг добирается до вас? как я понимаю по интернету, так зачем ему тогда его через прокси давать? вопросов осталось много, но на сколько я понял вам надо просто пробросить порты, как я писал.
iptables -t nat -A PREROUTING -p tcp -d 111.111.111.111/255.255.255.255 --dport 8080 -j DNAT --to 222.222.222.222:8080

Причем у вашего роутера ИП вашего роутера 212.107.241.135 а не в коем случае не 192.168.1.1

khasanov
02-02-2010, 20:02
а каким образом друг добирается до вас? как я понимаю по интернету, так зачем ему тогда его через прокси давать? вопросов осталось много, но на сколько я понял вам надо просто пробросить порты, как я писал.
iptables -t nat -A PREROUTING -p tcp -d 111.111.111.111/255.255.255.255 --dport 8080 -j DNAT --to 222.222.222.222:8080

Причем у вашего роутера ИП вашего роутера 212.107.241.135 а не в коем случае не 192.168.1.1

Вы, наверно, не поняли - у друга есть интернет, но только городской (платится определенная абонентская плата в месяц и тебе открывается доступ на все сайты в пределах города, доступ во внешнюю сеть оплачивается помегабайтно). Ему хватает городских ресурсов, но иногда, по учебе или еще каким делам, нужен доступ во всемирную паутину, а самостоятельно оплачивать каждый скаченный мегабайт он не в состоянии. Поэтому и просит помощи, так как у меня дома стоит безлимитный тариф (плачу более дорогую абонентскую плату в месяц, но зато доступен весь интернет).
Внешний то конечно 212.107.241.135, но для того чтобы передать интернет на мой компьютер он использую внутренний IP. Потому что провайдер привязывает IP ТОЛЬКО К ОДНОМУ MAC АДРЕСУ, А, ИМЕЕНО, К MAC МОЕГО РОУТЕРА. Для того, чтобы интернет дошел до моего компьютера, роутер создает свою сеть ==> дает IP себе и компьютеру (стандартный адрес для домашней сети 192.168...). Надеюсь теперь будет понятней...

kylich
03-02-2010, 02:28
iptables -t nat -A PREROUTING -p tcp -d 212.107.241.135/255.255.255.255 --dport 8080 -j DNAT --to 192.168.1.2:8080

попробуйте вот такое правило, только я не знаю порт вашего прокси, поэтому предположил что он 8080, при необходимости замените его ваш.

khasanov
03-02-2010, 11:55
iptables -t nat -A PREROUTING -p tcp -d 212.107.241.135/255.255.255.255 --dport 8080 -j DNAT --to 192.168.1.2:8080

попробуйте вот такое правило, только я не знаю порт вашего прокси, поэтому предположил что он 8080, при необходимости замените его ваш.

Где это прописывать? У меня вот так выглядит работа с портами

Basile
03-02-2010, 12:15
Если вы еще не снесли проксю, то вам в эту табличку нужно добавить строку:

Proxy 8080 192.168.1.2 TCP
где 8080 - порт вашей прокси

khasanov
03-02-2010, 13:52
Спасибо за отзывчивость. Работоспособность прокси я еще не проверял, так как у меня возник вопрос, в программе Handy Cache где прописывать данные для друга, чтобы он мог приконектиться ко мне и использовать мой прокси?

Asgard
03-02-2010, 13:58
Была подобная задача - ходить в инет через роутер с работы. Решил установкой на роутер связки stunnel + 3proxy (http://wl500g.info/showthread.php?t=19389)

З.Ы. Также можно ознакомиться с Использование ssh-тунелей для безопасного доступа к ресурсам LAN (http://wl500g.info/showthread.php?t=12833)

Basile
03-02-2010, 17:15
в программе Handy Cache где прописывать данные для другаНи разу не пользовался этим прокси. Я считаю, все будет сразу работать

khasanov
03-02-2010, 17:53
Ни разу не пользовался этим прокси. Я считаю, все будет сразу работать

Прокси будет работать без прокси? Интересно... Просьба, скоротечных ответов больше не писать.
Если вы не пользовались Handy Cache, напишите тогда какой программой пользовались. И что где прописывали. Заранее благодарен.

Basile
03-02-2010, 19:16
Например, настройка Proxomitron'а (только чтобы он заработал) сводится к тому, что его нужно куда-то распаковать, запустить, и указать какой порт слушать. Все. Клиент проксю в браузере: прописывает IP-адрес компьютера, на котором запущен Proxomitron, и порт, который слушает Proxomitron.

Сложность настройки той или иной прокси исходит из сложности поставленной задачи

khasanov
03-02-2010, 19:42
Например, настройка Proxomitron'а (только чтобы он заработал) сводится к тому, что его нужно куда-то распаковать, запустить, и указать какой порт слушать. Все. Клиент проксю в браузере: прописывает IP-адрес компьютера, на котором запущен Proxomitron, и порт, который слушает Proxomitron.

Сложность настройки той или иной прокси исходит из сложности поставленной задачи

Ну я думаю даже человек недалекого ума, попытается поставить настройки прокси так, чтобы доступ был только по IP, либо по Login и Pass.
Все равно спасибо за помощь!

Asgard
04-02-2010, 11:23
Ну я думаю даже человек недалекого ума, попытается поставить настройки прокси так, чтобы доступ был только по IP, либо по Login и Pass.
Все равно спасибо за помощь!

В post-firewall можно разрешить доступ к прокси с определенного IP.

Antoon
22-08-2010, 23:03
Здравствуйте!

Подскажите, поставил на WL500gp polipo и privoxy, хочется чтобы у обитателей домашней сетки в тырнет не было другого выхода, кроме как через прокси. Бегать всем настраивать браузер на использование прокси лень, да и ненадежно - народ нынче ушлый, изменят настройки и вся недолга. Как запретить выход HTTP через NAT?

LnrMn
22-08-2010, 23:17
Мне кажется, это от большого ума у тебя....
Или семья большая :)

Я никуда не бегаю, к примеру, по прямой 15 метров..

Шлюз - роутер. На всех компах..
Может я чего не догоняю...

KinoMan
22-08-2010, 23:20
Попробуйте так
iptables -I FORWARD -j DROP
добавить в post-firewall

вообще пускать много пользователей через прокси на роутере - плохая идея.
Чем вас нат не устроил?

LnrMn
22-08-2010, 23:25
Попробуйте так
iptables -I FORWARD -j DROP
добавить в post-firewall

вообще пускать много пользователей через прокси на роутере - плохая идея.
Чем вас нат не устроил?

Простите меня.. NAT делает не роутер, а провайдер.
Ваша реплика, как бы, не в кассу...

Antoon
22-08-2010, 23:26
Четыре пользователя - немного. А NAT всем устраивает, кроме одного - фильтрация. А через прокси вот они где у меня будут все - в кулаке! :)
Спасибо, попробую.

LnrMn
22-08-2010, 23:34
Вот Вы сейчас наслушаетесь глупостей... А потом нам же разруливать....


Как запретить выход HTTP через NAT?

Это уже абсурд!:eek:
Если ты, конечно, сам не провайдер.. И у тебя есть IP пул..

ЗЫ: В голову , даже, не приходило делить интернет в семье...

Basile
23-08-2010, 08:53
можно попробовать завернуть 80 порт на прокси (http://www.google.com/search?hl=ru&hs=7Cm&rls=ru&q=%D0%B7%D0%B0%D0%B2%D0%B5%D1%80%D0%BD%D1%83%D1%82 %D1%8C+80+%D0%BF%D0%BE%D1%80%D1%82+%D0%BD%D0%B0+%D 0%BF%D1%80%D0%BE%D0%BA%D1%81%D0%B8&aq=f&aqi=&aql=&oq=&gs_rfai=) с помощью iptables

Antoon
23-08-2010, 15:41
Вот Вы сейчас наслушаетесь глупостей... А потом нам же разруливать....



Это уже абсурд!:eek:
Если ты, конечно, сам не провайдер.. И у тебя есть IP пул..

ЗЫ: В голову , даже, не приходило делить интернет в семье...

Не знаю, абсурд или нет, на ISA Server это называется Transparent HTTP и у нас на работе запрещено. Именно исходя из этой аналогии я и хотел сделать похожее дома.
То что вам не приходит в голову какая-то мысль, не означает что ее не может быть, вы же не истина в последней инстанции. Я знаю что это возможно технически и именно такой ответ ищу. Морально-этические аспекты этого вопроса выходят за рамки форума.

igor77777
23-08-2010, 20:54
Не знаю, абсурд или нет, на ISA Server это называется Transparent HTTP ...
Вот и поищите по форуму по "Transparent" или по "прозрачное проксирование".
Кажется это обсуждалось в теме про сквид.
В теме про polipo+privoxy - не помню. Может тоже было, но сути это не меняет. Там всего-то, кажется, нужно строчку добавить в iptables. :-)

SergeyWl500gpv2
30-06-2011, 17:05
Здравствуйте, на работе в инет хожу через isa server + traficquotta, само собой это не айс. Многие сайты закрыты да и трафика мало, хотя тариф на компанию безлимитный. До этого момента юзал связку vidalia+tor+polipo, но это очень медленно..

Вопрос в следующем, как настроить vpn соединение чтобы трафик шёл в обход trafficquota через домашний роутер, который работает постоянно. На нём стоит последняя прошивка от Олега. На работе win7.

Возможно не очень корректно задал вопрос, но не знаю просто как спросить правильнее. Да и возможно кто-то уже делал подобный тоннель.

Помогите пожалуйста!

tempik
30-06-2011, 18:00
Здравствуйте, на работе в инет хожу через isa server + traficquotta, само собой это не айс. Многие сайты закрыты да и трафика мало, хотя тариф на компанию безлимитный. До этого момента юзал связку vidalia+tor+polipo, но это очень медленно..

Вопрос в следующем, как настроить vpn соединение чтобы трафик шёл в обход trafficquota через домашний роутер, который работает постоянно. На нём стоит последняя прошивка от Олега. На работе win7.

Возможно не очень корректно задал вопрос, но не знаю просто как спросить правильнее. Да и возможно кто-то уже делал подобный тоннель.

Помогите пожалуйста!
Для начала нужно определить насколько все запрещено ... Если сделано все по уму (шлюз на карте не прописан, изменить настройки не дают политики), то практически невозможно (у меня в офисе постоянно висит объява на стенде на гарантированную премию сотруднику (не из ИТ отдела) который соединится каналом со своим домашним роутером или хостом в инете в режиме VPN или PROXY). Вариантов много, но если админ не ленивый и знающий, то шансы стремятся к нулю.

SergeyWl500gpv2
30-06-2011, 18:07
Ок, а как проверить эту степень защиты? У моей учетки админские права, если что...

П.с. трафик квота закручена именно на учётку, смена мак адреса сетевой платы не помогала)

max2007
30-06-2011, 18:16
Устанавливайте POPTOP или OpenVPN и все ,проблема решена

SergeyWl500gpv2
30-06-2011, 18:23
Устанавливайте POPTOP или OpenVPN и все ,проблема решена

А носом можете ткнуть? Поиском подьзоваться умею, но так кпк не знаю каким путём решается моя проблема, то и объект поиска непонятен...

tempik
30-06-2011, 18:28
Ок, а как проверить эту степень защиты? У моей учетки админские права, если что...

П.с. трафик квота закручена именно на учётку, смена мак адреса сетевой платы не помогала)
Для начала структура сети (домен или рабочая группа) ... дальше проверить настройки сетевого интерфейса (указан ли шлюз) потом проверить какие порты открыты на выход (если есть) и если есть то радоваться и изучать темы openvpn (http://wl500g.info/showthread.php?t=8880&highlight=%F3%F1%F2%E0%ED%EE%E2%EA%E0+openvpn) и poptop (http://wl500g.info/showthread.php?t=19022&highlight=%F3%F1%F2%E0%ED%EE%E2%EA%E0+openvpn)

SergeyWl500gpv2
30-06-2011, 18:53
Для начала структура сети (домен или рабочая группа) ... дальше проверить настройки сетевого интерфейса (указан ли шлюз) потом проверить какие порты открыты на выход (если есть) и если есть то радоваться и изучать темы openvpn (http://wl500g.info/showthread.php?t=8880&highlight=%F3%F1%F2%E0%ED%EE%E2%EA%E0+openvpn) и poptop (http://wl500g.info/showthread.php?t=19022&highlight=%F3%F1%F2%E0%ED%EE%E2%EA%E0+openvpn)

Вот спасибо! Пойду изучать.

Пока могу сказать, что у нас домен, а не рабочая группа. Про шлюз и порты завтра посмотреть смогу. Сюдя по тому, что работают скайп и аська, то 443 порт точно открыт.

tempik
30-06-2011, 18:57
Вот спасибо! Пойду изучать.

Пока могу сказать, что у нас домен. А вот на счёт шлюза, это как проверить? И как проверить какие порты открыты на выход?
Поиск в гугле никто не отменял ... :) Лениво расписывать прописные истины ... Да и тем более "У моей учетки админские права", за чем ущемлять:rolleyes:

tempik
30-06-2011, 21:07
Вот спасибо! Пойду изучать.

Пока могу сказать, что у нас домен, а не рабочая группа. Про шлюз и порты завтра посмотреть смогу. Сюдя по тому, что работают скайп и аська, то 443 порт точно открыт.
Они могут идти через прокси-сервер ...

Pablo Escobar
30-06-2011, 21:48
а что, если прописан шлюз, это некомильфо, что ли?
трэйсы, mtr, nmap никто не отменял.

Грамотно спроектированная сеть плюс административные меры - гарантия защиты, кмк.

tempik
30-06-2011, 21:57
а что, если прописан шлюз, это некомильфо, что ли?
трэйсы, mtr, nmap никто не отменял.

Грамотно спроектированная сеть плюс административные меры - гарантия защиты, кмк.

Да нет ... Просто каков вопрос таков ответ ... Если шлюз не прописан, и нет прав изменить настройки сети, то дальше ловить почти нечего... Ессно можно и с прописанным шлюзом все запретить, но если не прописан 99% что дергаться бесполезно ИМХО

Pablo Escobar
30-06-2011, 22:18
Да нет ... Просто каков вопрос таков ответ ... Если шлюз не прописан, и нет прав изменить настройки сети, то дальше ловить почти нечего... Ессно можно и с прописанным шлюзом все запретить, но если не прописан 99% что дергаться бесполезно ИМХО

блин, если он не прописан, то два часа nmap-а, и он у вас в руках =)

tempik
30-06-2011, 22:22
блин, если он не прописан, то два часа nmap-а, и он у вас в руках =)
Если он не прописан, то это кому-то нужно ... И как правило в этом случае все закрыто на уровне или свича или шлюза ...

SergeyWl500gpv2
01-07-2011, 07:52
Итак, Шлюз по умолчанию IPv4 прописан! Хорошо это или нет, не знаю. Далее, все порты закрыты, за исключением 80 и 443, само собой. Судя по всему они идут через проксю Isa Server. Там и ТрафикКвота.

Настройки сети менять могу и новое VPN соединение тоже могу сделать, что дальше делать?

vectorm
01-07-2011, 08:14
Меня постоянно поражают подобные вопросы, если честно :)
Человека на работу берут дело делать, или искать обходы запретов?
Не устраивает работа - что держит?

По делу:
Есть еще различные ICMP, DNS, DHCP тоннели.
Плюс личные ноутбуки-КПК-смартфоны никто не отменял.

Не все запреты непробиваемые, но и не все "пробития" будут полностью безграничными.

Если стоит лимит по трафику. то какая разница, куда он идет?
Тупо тоннель весь трафик сожрет, и инет так-же перекроют, как из-за превышения лазаний в инете.

И, если админы озаботились серьезными ограничениями, то уж статистику посещений они ведут 100%, и могут вручную залочить подозрительные IP адреса с большим трафиком. А то, что это явно тоннель - будет видно невооруженным глазом.
А после N-ного подобного случая могут прийти и по голове настучать. В лучшем случае.

Pablo Escobar
01-07-2011, 08:56
Меня постоянно поражают подобные вопросы, если честно :)
Человека на работу берут дело делать, или искать обходы запретов?
Не устраивает работа - что держит?

И, если админы озаботились серьезными ограничениями, то уж статистику посещений они ведут 100%, и могут вручную залочить подозрительные IP адреса с большим трафиком. А то, что это явно тоннель - будет видно невооруженным глазом.

вот тут точно ППКС

tempik
01-07-2011, 17:53
Меня постоянно поражают подобные вопросы, если честно :)
Человека на работу берут дело делать, или искать обходы запретов?
Не устраивает работа - что держит?

По делу:
Есть еще различные ICMP, DNS, DHCP тоннели.
Плюс личные ноутбуки-КПК-смартфоны никто не отменял.
Никто не просит их заниматься обходом защиты. Личные ноутбуки запрещены (указано в договоре при приеме на работу). Внешний WiFi глушится ... Сотовая связь доступна, но этот канал вне ответственности моего ИТ отдела. О том, что трафик фиксируется (не только объем, но и все пакеты для возможности последующего восстановления инфы) до всех доводят при приеме на работу (в более простых терминах, "все что вы видите на мониторе рабочего компа доступно СБ и ИТ отделам").
И как обойти (с правами обычного юзверя) связку на порте свитча MAC+IP и правила на роутере на форвард только группы серваков по MAC+IP, а также запрет на запуск любых программ не из разрешенного списка (через групповые политики)...

deniskind
02-08-2011, 18:59
Здравствуйте, уважаемые участники форума!
Поиском пользовался, но безуспешно. Встречается установка прокси на роутер, а мне нужно другое.
Помогите, пожалуйста с настройкой wl 500 premium для следующих условий:
Устройство предполагается держать на работе с поднятым OpenVpn соединением до домашнего компьютера. Пока до компьютера, а в последствии, возможно и до домашнего роутера. На работе есть две сети, друг с другом никак не пересекающиеся. Одна сеть раздает интернет на компьютер через прокси, с ограничением по макам и еще бог знает чем (предстоит выяснить). Прокси авто-настраиваемый. Все исходящие порты перекрыты, кроме нескольких. В данный момент один из них используется для Vpn из компьютера на работе в компьютер дома. Вторая сеть это чисто рабочая локалка из другого сетевого сегмента.
Цели:
1) Научить роутер раздавать инет, подключаясь через прокси к первой подсети, _не используя_vpn_соединение_домой_ Одновременно с этим, в одно из гнезд нужно подключить вторую сеть и к ней также необходим доступ. Т.е. подключив роутер к первой сети интернет появляется на любом компьютере, подключенном к роутеру и получившиму все по автонастройке. В тоже время, пакеты во вторую сеть и обратно так же должны ходить без проблем. Понимаю, что в этом случае интернет будет урезанным, ограниваясь только разрешенными портами на выход.
2) Вариант второй, возможно, даже проще. Раз уж я умею создавать vpn соединение то будет неплохим выходом получать необрезанный интернет из дома, но в этом случае надо как-то сказать роутеру что он будет брать его там. В данном случае так же потребуется весь трафик второй сети (без инета) отправлять на местный сервер, а все остальное на шлюз где-то дома.
Если, вдруг, такой вопрос уже где-то серьезно обсуждался, ради бога извините, ткните носом туда. Если нет, то буду рад вашей помощи. Возможно, что изложенной информации не достаточно. Я готов ответить на дополнительные вопросы. Важно достичь обе цели, а не лишь одну из них. С линуксом на вы.

YVM
03-08-2011, 09:18
Далее, все порты закрыты, за исключением 80 и 443, само собой.?

Как писал vectorm, если есть ограничения по трафику, помогут только хорошие отношения с админом :)
Если ограничений нет, порт 80 TCP открыт и есть дома внешний IP, все решается просто. Поднимается Squid на роутере, на 80 порту и через него все, что угодно, например OpenVPN. У меня так работало 2 года, хотя я и не делал из этого секретов для IT отдела.

OtStoyNick
22-08-2011, 20:02
не смог найти.
нужен доступ к ресурсу (например МойРесурс.ру) по определенному порту (например 7903) с работы, где почти все порты закрыты.
Хотел бы сделать такую вещь - вместо МойРесурс.ру стучаться на свой роутер по порту, который на работе открыт (например 23), и чтоб роутер пробрасывал вызов, но не на внутренний ресурс, а вот на тот самый МойРесурс.ру:7903.
Как это сделать? Сельвупле, миье.

С помощью веб-морды, в разделе Virtual Server задал, что если трафик приходит на порт 23, то перебрасывать на IP (там хотят Local IP, а я поставил внешний) и порт 7903.
В итоге из домашней сетки (внутренняя сеть роутера) я достукиваюсь по обращению к роутеру и порту 23 идеально, но с работы так и не выходит.
Пробовал также командой:
iptables -i input -p tcp -m tcp --dport 23 -j accept
та же хрень, с домашнего компа - получается, снаружи нет.
Чую я где-то рядом. Поправьте пж.

konnmor
25-10-2011, 19:08
Всем привет!
Такой вот вопрос.
Есть домашний WL-500gP v.1, , подключен к Инету, IP динамический, настроен DDNS.
Также есть внешние компы с жесткой фильтрацией трафика (в Китае, на работе, и т.п.).
Задача - получить неограниченный доступ к ресурсам Интернет с любого внешнего компа с зарезанными ресурсами, используя роутер.
Посоветуйте оптимальный вариант решения этой задачи.
Насколько успел нарыть, вроде можно поднять на роутере свой http сервер с php proxy script. Знаю слово "VPN", реализацию представляю слабо. В общем, пинните пожалуйста, как проще и грамотнее решить задачу.
P.S. Трафик должен шифроваться, т.е. на внешней стороне администратор не должен знать, куда я на самом деле лезу; доступ должен быть через авторизацию (желательно, чтоб кто попало ресурсом не воспользовался).
P.S.S. Про Тоr, бесплатные/платные прокси/VPN уже знаю, не предлагать.