Utlrasorf'u squid ile bloklayamazsiniz. Utlrasorf cok ilginc bir yazilim.
Windows'da hook mekanizmasi ile calisiyor ve kendisince bir listesi var...
herhangi bir sekilde disarida bi noktaya erisemediginde, listeyi devreye
sokuyor..
Bu liste basit gibi gorunsede complex bir yapisi var.. soyleki, en son noktada
443 uzerinden SSL client modunda "Client hello" ile disari cikmaya calisiyor..
iptables gibi firewall yazilimlari, baglanti durumu (conn state) kararli
(established) olmus bi baglanti icin durum takibi yapamaz !!! Bu sayede
ultrasorf bi defa baglanti sagladiginda durdurulamaz !!!
Bu tarz baglantilari durdurmak icin ileri duzey iptables teknikleri kullanmak
gerekiyor. Squid bunu asla yapamaz :(( L7 seviyesinde protokol analizi yapip
sign'lara kural yazmaniz gerekir veya illa Squid ise icap tarzi hem header hem
de body taramasi yapabilecek bi sistem kullanmaniz gerekir..
Diyelimki ultrasorfu blok icin bir takim kurallar yazdiniz, muhtemelen SSL
based siteler calismayacaktir. Muhtemelen facebook calismayacaktir. Google
calismayacaktir (google kendisini https'e yonlendiriyor)
Komple butun portlari yasaklamak belki bi cozum AMA ultrasorf bi defa establish
bir baglanti sagladiginda, buyuk ihtimalle durduramayacak, hatta sniffer'larla
izleseniz bile anlamsiz datalar goreceksiniz..
OpenSource olarak L7-filter protokol analizi yapan ve iptables'a entegre
olabilen bi yazilim var.. fakat istediginiz bi trafigi durdurmak icin iyi bir
analiz yapip, dogru signature'lari bulup l7-filter'in anlayacagi sekilde .pat
olarak hazirlamaniz gerekir.
Umarim bu bilgiler size yardimci olur..
Samsung Mobile tarafından gönderildi
-------- Orjinal mesaj --------
Kimden: Mehmet Recep Türkoğlu <[email protected]>
Tarih:14 03 2014 15:48 (GMT+02:00)
Alıcı: Linux <[email protected]>
Konu: [Linux] Re: YNT: Re: Ücreti karşılığında proxy server kurulumu
Merhaba
Madem bu kadar muhabbet döndü bu konu üzerinde bana da durumu açıklamak düşer
:) Ben 2008 yılında öğrenciyken kaldığım yurda centos kurmuştum. Üzerinde squid
vardı ancak hiç stabil değildi kendi kendine durduğu filan oluyordu. Onun içn
cron job filan kurmuştum arada bi restart etsin filan diye :) . İptablesı filan
yapılandırdım. Ancak son günlerde serverda sıkıntılar olmaya başladı girememeye
filan başlamışlar. Ben de vakit ayırıp ilgilenemedim. Modemi değiştirmişler
uzaktan erişim de yapamadım. Geçen gün sıfırdan debian kurdum. Bu arada
yurttaki en büyük sorun bazı öğrencilerin ultrasurf denilen programı
kullanmaları sonucunda interneti felç ediyorlar. Şimdi bizim en önemli amacımız
bütün portları kapatıp sadece 80 e gelen isteklere cevap vermek. Hatta
transparent proxyye de gerek yok. 3128den baplansınlar. Çünkü birisi bi yerden
bişey açıyor ultrasurf gibi adam sadece ödev yapacak google ı bile açamıyor.
Sadece dns ve 80 portu 443 gibi hayati portlar açık olsun gerisi önemli değil.
53 dışında bütün udpleri kapatalım. Hatta bu konuda çok fazla bilgim yok ama
servera dns server kuralım 53 e içeriden bir makine erişemesin dns
sorgulamalarını sadece server yapsın. İşte facebookun chati çalışsın video
filan izleyebilsinler o yeter bize. Diğer uygulamaların hiçbirisi umurumuzda
değil. içerik filtreleme de o kadar dert değil. Sadece girilen siteler
loglansın yeter. Bir de bizim bağlantı 8 mbit bugün 25 mbite filan çıkarmayı
düşünüyoruz. Squid üzerinden hızı şekillendirelim. Mesela bir kişi 100kb/s den
daha hızlı download yapamasın. Uploada sınır koyabiliyormuyuz bilmiyorum. dün
squid içna raştırdım bulamadım. Bir de uzun zamandır linux kullanmıyordum baya
uzak kalmışım. Messele interfaces dosyaında eth1 e ip atıyorum bir türlü o ipyi
aldıramıyorum. Bu tür ufak tefek sıkıntılar var.
Özgür bey sanırım bu konuda ssh ile yardımcı olacak. Teşekkürler hepinize.
2014-03-14 15:04 GMT+02:00 Ozgur <[email protected]>:
Selamlar,
eger Squid3 kullanirsaniz ve konfigurasyon dosyanizda tuning yaparsaniz /16
gibi bir network'u de squid'den gecirebilirsiniz. Bu durumda cpu ve ram oldukca
onem kazaniyor. Eger yeterli gelmezse ikinci bir squid ile load balance
yapabilirsiniz.
Squid zaten bir filtering araci degil, filtering icin squidguard ya da
Dansguardian kullaniliyor ama /16 gibi bir network'te bende iki Squid sunucu
uzerinde Dansguardian'da konfigure ederek calistirdim. Ancak squid.conf ve
dansguardian.conf icerisinde cok fazla oynamam ve tuning yapmam gerekti.
Sonuc itibari ile dogru sorulari sormak en dogru cozumun ilk ayagi aslinda :)
Saygilarimla,
Ozgur Karatas
2014-03-14 15:50 GMT+04:00 Mehmet CELIK <[email protected]>:
Abilerim yaaa :)) bu konuda tartisilir mi yaa :)
Arkadasimiz squid ile proxy yapmak istiyor. Bu kadar basit :)
Squid'e vaktiyle patch yazmis birisi olarak, hicbir zaman !!! Squid size
mukemmelliyeti sunamaz. Cunku, dunya da hergun binlerce yeni site cikiyo..
cunku, bi dansguardian kullanmak asiri CPU ve Ram tuketmek demek.. cunku Layer7
seviyesin de Squid duzgun bi filtering yapamaz demek.. cunku, L7 seviyesinde
Squid sadece HTTP Header'ini tarar (url v.s.) body kontrol yapamaz demek..
illa ki HTTP body yonetimi isteniyorsa, biraz iptables+queue+l7+dns spoof (/16
gibi buyuk blogu olan sistemleri tekil IP'lere indirgemek icin) tabii ki bu
biraz prof bir cozum oldu !!! ama bahsi gecen yer bi yurt ise :) genclere bu
kadar da yuklenmeye gerek yok :))
Neyse, ilgili arkadasimiz Debian veya CentOS veya RedHat kuracak ve isletim
sisteminin paket yoneticisini kullanarak (ornegin apt veya yum gibi) squid,
dansguardian, sarg v.s. repo'dan tek komutla otomatik kuracak :)
Artik gerisi birazcik Google amcaya dogru sorulari sormayi kaliyor.
Biz OpenSource camiasina gonul vermis insanlariz. Bu mailimi saygisizlik gibi
algilamayin. Sadece olmasi gerekeni soyledim.
Iyi gunler dilerim.
Samsung Mobile tarafından gönderildi
_______________________________________________
Linux E-Posta Listesi
[email protected]
Liste kurallari: http://liste.linux.org.tr/kurallar.php
Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen
e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1
dakika içinde üyeliğinizi sonlandırabilirsiniz.
https://liste.linux.org.tr/mailman/listinfo/linux
--
Mehmet Recep Türkoğlu
_______________________________________________
Linux E-Posta Listesi
[email protected]
Liste kurallari: http://liste.linux.org.tr/kurallar.php
Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen
e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1
dakika içinde üyeliğinizi sonlandırabilirsiniz.
https://liste.linux.org.tr/mailman/listinfo/linux
