Utlrasorf'u squid ile bloklayamazsiniz. Utlrasorf cok ilginc bir yazilim. 
Windows'da hook mekanizmasi ile calisiyor ve kendisince bir listesi var... 
herhangi bir sekilde disarida bi noktaya erisemediginde, listeyi devreye 
sokuyor..

Bu liste basit gibi gorunsede complex bir yapisi var.. soyleki, en son noktada 
443 uzerinden SSL client modunda "Client hello" ile disari cikmaya calisiyor.. 
iptables gibi firewall yazilimlari, baglanti durumu (conn state) kararli 
(established) olmus bi baglanti icin durum takibi yapamaz !!! Bu sayede 
ultrasorf bi defa baglanti sagladiginda durdurulamaz !!!

Bu tarz baglantilari durdurmak icin ileri duzey iptables teknikleri kullanmak 
gerekiyor. Squid bunu asla yapamaz :(( L7 seviyesinde protokol analizi yapip 
sign'lara kural yazmaniz gerekir veya illa Squid ise icap tarzi hem header hem 
de body taramasi yapabilecek bi sistem kullanmaniz gerekir..

Diyelimki ultrasorfu blok icin bir takim kurallar yazdiniz, muhtemelen SSL 
based siteler calismayacaktir. Muhtemelen facebook calismayacaktir. Google 
calismayacaktir (google kendisini https'e yonlendiriyor)

Komple butun portlari yasaklamak belki bi cozum AMA ultrasorf bi defa establish 
bir baglanti sagladiginda, buyuk ihtimalle durduramayacak, hatta sniffer'larla 
izleseniz bile anlamsiz datalar goreceksiniz..

OpenSource olarak L7-filter protokol analizi yapan ve iptables'a entegre 
olabilen bi yazilim var.. fakat istediginiz bi trafigi durdurmak icin iyi bir 
analiz yapip, dogru signature'lari bulup l7-filter'in anlayacagi sekilde .pat 
olarak hazirlamaniz gerekir.

Umarim bu bilgiler size yardimci olur.. 


Samsung Mobile tarafından gönderildi

-------- Orjinal mesaj --------
Kimden: Mehmet Recep Türkoğlu <[email protected]> 
Tarih:14 03 2014  15:48  (GMT+02:00) 
Alıcı: Linux <[email protected]> 
Konu: [Linux] Re:       YNT: Re: Ücreti karşılığında proxy server kurulumu 

Merhaba
Madem bu kadar muhabbet döndü bu konu üzerinde bana da durumu açıklamak düşer 
:) Ben 2008 yılında öğrenciyken kaldığım yurda centos kurmuştum. Üzerinde squid 
vardı ancak hiç stabil değildi kendi kendine durduğu filan oluyordu. Onun içn 
cron job filan kurmuştum arada bi restart etsin filan diye :) . İptablesı filan 
yapılandırdım. Ancak son günlerde serverda sıkıntılar olmaya başladı girememeye 
filan başlamışlar. Ben de vakit ayırıp ilgilenemedim. Modemi değiştirmişler 
uzaktan erişim de yapamadım. Geçen gün sıfırdan debian kurdum. Bu arada 
yurttaki en büyük sorun bazı öğrencilerin ultrasurf denilen programı 
kullanmaları sonucunda interneti felç ediyorlar. Şimdi bizim en önemli amacımız 
bütün portları kapatıp sadece 80 e gelen  isteklere cevap vermek. Hatta 
transparent proxyye de gerek yok. 3128den baplansınlar. Çünkü birisi bi yerden 
bişey açıyor ultrasurf gibi adam sadece ödev yapacak google ı bile açamıyor. 
Sadece dns ve 80 portu 443 gibi hayati portlar  açık olsun gerisi önemli değil. 
 53 dışında bütün udpleri kapatalım. Hatta bu konuda çok fazla bilgim yok ama 
servera dns server kuralım 53 e içeriden bir makine erişemesin dns 
sorgulamalarını sadece server yapsın. İşte facebookun chati çalışsın video 
filan izleyebilsinler o yeter bize. Diğer uygulamaların hiçbirisi umurumuzda 
değil. içerik filtreleme de o kadar dert değil. Sadece girilen siteler 
loglansın yeter. Bir de bizim bağlantı 8 mbit bugün 25 mbite filan çıkarmayı 
düşünüyoruz. Squid üzerinden hızı şekillendirelim. Mesela bir kişi 100kb/s den 
daha hızlı download yapamasın. Uploada sınır koyabiliyormuyuz bilmiyorum. dün 
squid içna raştırdım bulamadım. Bir de uzun zamandır linux kullanmıyordum baya 
uzak kalmışım. Messele interfaces dosyaında eth1 e ip atıyorum bir türlü o ipyi 
aldıramıyorum. Bu tür ufak tefek sıkıntılar var. 
Özgür bey sanırım bu konuda ssh ile  yardımcı olacak. Teşekkürler hepinize.


2014-03-14 15:04 GMT+02:00 Ozgur <[email protected]>:
Selamlar,

eger Squid3 kullanirsaniz ve konfigurasyon dosyanizda tuning yaparsaniz /16 
gibi bir network'u de squid'den gecirebilirsiniz. Bu durumda cpu ve ram oldukca 
onem kazaniyor. Eger yeterli gelmezse ikinci bir squid ile load balance 
yapabilirsiniz.

Squid zaten bir filtering araci degil, filtering icin squidguard ya da 
Dansguardian kullaniliyor ama /16 gibi bir network'te bende iki Squid sunucu 
uzerinde Dansguardian'da konfigure ederek calistirdim. Ancak squid.conf ve 
dansguardian.conf icerisinde cok fazla oynamam ve tuning yapmam gerekti.

Sonuc itibari ile dogru sorulari sormak en dogru cozumun ilk ayagi aslinda :)

Saygilarimla,

Ozgur Karatas


2014-03-14 15:50 GMT+04:00 Mehmet CELIK <[email protected]>:

Abilerim yaaa :)) bu konuda tartisilir mi yaa :)

Arkadasimiz squid ile proxy yapmak istiyor. Bu kadar basit :)

Squid'e vaktiyle patch yazmis birisi olarak, hicbir zaman !!! Squid size 
mukemmelliyeti sunamaz. Cunku, dunya da hergun binlerce yeni site cikiyo.. 
cunku, bi dansguardian kullanmak asiri CPU ve Ram tuketmek demek.. cunku Layer7 
seviyesin de Squid duzgun bi filtering yapamaz demek.. cunku, L7 seviyesinde 
Squid sadece HTTP Header'ini tarar (url v.s.) body kontrol yapamaz demek..

illa ki HTTP body yonetimi isteniyorsa, biraz iptables+queue+l7+dns spoof (/16 
gibi buyuk blogu olan sistemleri tekil IP'lere indirgemek icin) tabii ki bu 
biraz prof bir cozum oldu !!! ama bahsi gecen yer bi yurt ise :) genclere bu 
kadar da yuklenmeye gerek yok :))

Neyse, ilgili arkadasimiz Debian veya CentOS veya RedHat kuracak ve isletim 
sisteminin paket yoneticisini kullanarak (ornegin apt veya yum gibi) squid, 
dansguardian, sarg v.s. repo'dan tek komutla otomatik kuracak :)

Artik gerisi birazcik Google amcaya dogru sorulari sormayi kaliyor.

Biz OpenSource camiasina gonul vermis insanlariz. Bu mailimi saygisizlik gibi 
algilamayin. Sadece olmasi gerekeni soyledim.

Iyi gunler dilerim.


Samsung Mobile tarafından gönderildi

_______________________________________________
Linux E-Posta Listesi
[email protected]
Liste kurallari: http://liste.linux.org.tr/kurallar.php

Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen 
e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 
dakika içinde üyeliğinizi sonlandırabilirsiniz.
https://liste.linux.org.tr/mailman/listinfo/linux




-- 
Mehmet Recep Türkoğlu
_______________________________________________
Linux E-Posta Listesi
[email protected]
Liste kurallari: http://liste.linux.org.tr/kurallar.php

Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen 
e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 
dakika içinde üyeliğinizi sonlandırabilirsiniz.
https://liste.linux.org.tr/mailman/listinfo/linux

Cevap