» настройка Proxomitron

WRFan

Нет, это просто указывает с каких ИП Proxomitron разрешает соединения. У меня там указана локальная сеть. Но прослушивает Proxomitron все интерфейсы (0.0.0.0:8080), а мне бы хотелось чтоб он прослушивал толькой внутренний (а не внешний) интерфейс.

Anna
А какая тебе разница, какие интерфейсы он прослушивает?
Да и вообще проги-прокси прослушивают все адреса, но разрешают доступ только с определенных. Точнее прокси прослушивают порты, а не интерфейсы. Интерфейсы в основном прослушивают снифферы (через драйверы).

unreal666

Т.к. Proxomitron прослушивает порты на внешнем интерфейсе, то это не так безопасно как если б он только на внутреннем интерфейсе прослушивал.

Конечно то что можно ограничить доступ по ИП должно предотвратить большинство аттак, но все равно это не хорошо что он держит открытый порт на внешнем интерфейсе - особенно принимая во внимание что я присоединяюсь только со внутненнего интерфейса и совершенно никак не использую этот открытый порт на внешнем интерфейсе.


Цитата:

Да и вообще проги-прокси прослушивают все адреса

Нет, я думаю ты ошибаешься. Я использую и другие прокси (3proxy и Tor) и в их настройках можно четко указать на каких интерфейсах (и портах) слушать. Тоже самое и с Privoxy, которой я пользовалась до Проксимитрона.

А если в каких-то прокси серверах нельзя четко указать привязку к определенному интерфейсу, то это imho недоработка.

Anna
Внешние запросы обычно блокируют файерволом, а не такими прогами. Да и проксомитрону плевать на попытки его взлома.

Добавлено:

Цитата:

Тоже самое и с Privoxy, которой я пользовалась до Проксимитрона.

Что то я не заметил в нем привязку к интерфейсу. Нашел только привязку к портам и адресам (типа 127.0.0.0: 8080). У него вообще конфиг похож на конфиг Апача.

Добавлено:
Посмотрел сейчас этот 3proxy. Там под интерфейсом понимается как раз адрес прослушки. Оказывается ты об этом говорила.
Так это то же самое, что и в проксомитроне разрешение доступа с каких-то адресов.
Вообще по нормальному под интерфейсом понимается какое-либо сетевое устройство (сетевуха, модем, затычка - 127.0.0.1), как это реализуется в файерволах с помощью драйверов.

Anna

Цитата:

Нет, это просто указывает с каких ИП Proxomitron разрешает соединения.

не нет, а да. для tcp это единственно правильный термин.

Цитата:

Но прослушивает Proxomitron все интерфейсы (0.0.0.0:8080), а мне бы хотелось чтоб он прослушивал толькой внутренний (а не внешний) интерфейс.

а здесь у тебя полная путаница в понятиях. Proxomitron открывает т.н. сервер-сокет. и слушает он только попытки к нему присоединиться. разрешено это (или файрволом, или собственными настройками) - соединение произойдет и Proxomitron будет выполнять запросы. все очень просто. и ничего "постороннего" он не "слушает".

Добавлено:
unreal666

Цитата:

Внешние запросы обычно блокируют файерволом, а не такими прогами.

это да, но если есть встроенный механизм доступа - почему бы не использовать его, не заморачиваясь с настройками файра?

Цитата:

Да и проксомитрону плевать на попытки его взлома.

смешно. особенно в локальной сети, имеющей одну платную веревку в инет.

unreal666
Под "интерфейсом" я подразумевала Network Interface Card (NIC), еще называется Network Adapter. Если есть более подходящее русское слово, то скажи мне


Цитата:

Так это то же самое, что и в проксомитроне разрешение доступа с каких-то адресов.

Это НЕ то же самое. Когда ты в Privoxy или Tope или 3Proxy задаешь привязку к определенному адресу, то сокет открывается только на нем.

На пример в Privoxy:
listen-address 192.168.1.10:8080

Privoxy будет прослушивать только порт 8080 на NIC с адресом 192.168.1.10
В этой ситуации, порт 8080 на втором NIC с адресом 10.10.1.10 (на этом же компте) прослушиваться не будет. Что мне и нужно. То же самое в Торе и в 3proxy.

Если ты в Проксомитроне в графе разрешения доступа с каких-то адресов ставишь 192.168.1.10, то Проксимотрон прослушивает 0.0.0.0:8080 (это обозначает все адреса, включая 192.168.1.10:8080 и 10.10.1.10:8080). А мне нужно чтоб прослушивался только 192.168.1.10:8080, но не 10.10.1.10:8080

speakerr

Цитата:

а здесь у тебя полная путаница в понятиях. Proxomitron открывает т.н. сервер-сокет. и слушает он только попытки к нему присоединиться. разрешено это (или файрволом, или собственными настройками) - соединение произойдет и Proxomitron будет выполнять запросы. все очень просто. и ничего "постороннего" он не "слушает".

Нет у меня нет путаницы в понятиях в этом вопросе - я понимаю данный вопрос очень хорошо.

Я знаю что Проксимотрон открывает сокет и слушает попытки к нему присоединиться Я пришла в эту тему именно с этой проблемой: что Проксимотрон открывает сокет на внешнем NIC и слушает попытки к нему присоединиться.

И все попытки соединения из вне - на внешний NIC - являются именно посторонними. Компты локалки соединены только с внутренним NIC, и никак не с внешним. Так что заявление что ничего "постороннего" Проксимотрон не "слушает" говорит мне о том что ты в упор не понимаешь в чем заключается обсуждаемая проблема. Проксимотрон слушает 'посторонние' соединения из вне, и может быть использован как открытый прокси-сервер, если не использовать файвол и ограничение доступа по ИП адресам.

На конкретном примере:
Top, Privoxy, 3proxy слушают внутренний NIC (н.п. 192.168.1.10:8080), но не внешний NIC (н.п. 10.10.1.10:8080). Это то что нужно, так как проксирование ведется для внутненних компьютеров локалки, а не для пользователей из интернета.

Proximotron слушает либо 0.0.0.0:8080 (в этом случае прослушиваются оба и внешний 10.10.1.10:8080 и внутренний 192.168.1.10:8080 NIC'и) или 127.0.0.1:8080 (в этом случае не прослушиваются ни внешний 10.10.1.10:8080, ни внутренний 192.168.1.10:8080 NIC'и - что естественно тоже не подходит).

Мне кажется что Проксимотрон просто не может делать такую елементарную вещь как слушать на внутреннем NIC и не слушать на внешнем NIC (на пример слушать 192.168.1.10:8080, и не слушать 10.10.1.10:8080). Тогда придется полагаться на встроенный механизм доступа и файрвол.

если не можете сохранить страницы форума в mht, то можно использовать следующий скрипт:


Код:
[Patterns]
Name = "CSS Hide JS"
Active = TRUE
URL = "$TYPE(htm)"
Limit = 256
Match = "($NEST(<link\s(rel|href)=,*stylesheet*,>))\1"
Replace = "<SCRIPT LANGUAGE="JavaScript">document.write('\1');</SCRIPT>"

Anna
Все эти проги открывают определенные порты на прослушку, т.е. локальный адрес "имя_твоего_компа:порт_прослушки".
Т.е. физически прослушка идет по адресу "имя_твоего_компа:порт_прослушки" (у меня, например, это spaceship:8093) .
При использовании сокета IP тут ни при чем. Просто при попытке приконнектиться к порту проги, если этот IP не разрешен, то запрос игнорируется. Как ты это не называй - прослушка интерфейса или доступ для диапазона IP.
И при задании IP сетевухи в конечном итоге получается тот же диапазон. На IP накладывается маска сети - вот тебе и диапазон.
Кстати, в том же Privoxy есть прослушка именно по диапазону IP? А то там чего-то можно задавать только IP сетевухи, что неудобно, если мне нужно ограничить диапазоном, меньшим чем диапазон IP сетевухи.

unreal666

Цитата:

Все эти проги открывают определенные порты на прослушку, т.е. локальный адрес "имя_твоего_компа:порт_прослушки".
Т.е. физически прослушка идет по адресу "имя_твоего_компа:порт_прослушки" (у меня, например, это spaceship:8093) .

Нет. Я уже объяснила что в указанных мной прогах можно задать прослушку только на определенном Network Interface Card (если в комрьютере стоит несколько NIC'ов). Это нельзя только в Проксимотроне. Я не буду больше спорить по этому поводу.
Я не знаю на счет настроек по диапозону в Privoxy, я это не использовала.

Для прослушки открывается именно порт твоего компа, а не адрес или еще что-то. IP адрес ты "открыть" не можешь (т.к. и открывать нечего, потому что IP - это не объект, а свойство объекта). Идет всего лишь или ответ на запрос с определенного IP или его игнорирование.
А в прогах типа Privoxy задается тот же диапазон, только другим способом (наложением маски сетевухи на ее IP адрес).

Anna:

А как можно указывать сетевой интерфейс для таких типичных случаев, как динамический IP на внешку или вообще диалап-модем с подключением к пяти провайдерам? По маку что ли? Сомневаюсь, что какой-нибудь локальный прокси умеет на таком сетевом уровне работать.

Прокс открывает сокет не на 0.0.0.0, а на 127.0.0.1, и ждёт на своём порту соединения с любого адреса. А входящие пакеты с 0.0.0.0 на 127.0.0.1 заворачивает сетевой драйвер. Да, у Прокса нет настроек, чтобы использовать другой адрес для открывания сокета.

Напомню, что ограничение в настройках диапазона входящих IP приводит к тому, что при соединениях с левых адресов на "сервере" выскакивает окошко с варнингом. Так что ограничивать надо прежде всего другими средствами.

Кроме файрвола рекомендую использовать в локалке какой-нибудь экзотический порт. Например, трафик по портам NETBIOS почти все провайдеры режут на входе в сеть -- вполне себе защита.

chAlx

Цитата:

Прокс открывает сокет не на 0.0.0.0, а на 127.0.0.1

Почти как я написал

Цитата:

Т.е. физически прослушка идет по адресу "имя_твоего_компа:порт_прослушки" (у меня, например, это spaceship:8093)

chAlx

В 3proxy можно указывать "внутренний интерфейс" (на котором вести прослушку портов) по маске. По Маку нельзя, на сколько я знаю...

Прокс открывает сокет на 0.0.0.0 если у тебя разрешены соединения с других комрьютеров. Сокет открывается только на 127.0.0.1 если доступ разрешен только с хост-компьютера (Config -> Access).

Anna

Цитата:

Прокс открывает сокет на 0.0.0.0 если у тебя разрешены соединения с других комрьютеров. Сокет открывается только на 127.0.0.1 если доступ разрешен только с хост-компьютера (Config -> Access).

Сокет не открывается на IP, он открывается на порту. т.е. он открывает порт на локальном адресе. Возьми прогу TCPView и посмотри.

unreal666

Цитата:

Сокет не открывается на IP, он открывается на порту.

Для Вас будет трагическим открытием, но (tcp-)сокет непременно привязывается к адресу (bind'ится), явно или неявно, поскольку он, грубо говоря, и есть комбинация адрес-порт.

Уважаемые, зачем же рассказывать про чудесную фильтрацию соединений по диапазонам адресов, когда всего лишь изначальный bind программки на требуемый интерфейс (NIC) наиболее безопасно исключает саму эту необходимость. В чем, собственно, вопрос Anna и заключался.

Говоря по существу, таковой возможности в Proxomitron, к сожалению, нет.

---

gu900
Спасибо. А то я уже совсем отчаялась найти в этой теме понимающего человека...

Proxomitron-RE v0.9 beta и Gmail.
Народ подскажите какие из фильтров должны быть включены , а какие выключены ,чтоб все заработало?

Добавлено:
И еще может подскажите что можно сделать , чтоб при хождении через Проксомитрон Оперы на HTTPS не приходилось бы постоянно нажимать принять корневой сертификат , а то задолбало уже.

kusrus

Цитата:

И еще может подскажите что можно сделать , чтоб при хождении через Проксомитрон Оперы на HTTPS не приходилось бы постоянно нажимать принять корневой сертификат , а то задолбало уже.

Сними в настройках Прокса на вкладке "HTTP" галку с "Использовать SSLeay/OpenSSL...".

arsvrn
Конкретное решение, но мне не подходит, потому что в этом случае Проксомитрон не фильтрует HTTPS трафик и не режит в нем банеры, а просто прозрачно пропускает сквозь себя, аналогичное решение, взять в браузере и указать сайты для которых не надо использовать прокси.

Как настроить Proxomiton 4.5, чтобы он отсылал в X-Forwarded-For то что задал пользователь ?

sonar790
Кто у тебя добавляет этот заголовок?

Цитата:

Кто у тебя добавляет этот заголовок?

При входе на сайты он уже есть, кто добавляет не знаю, но знаю что Proxomiton может изменять значения в HTTP_VIA и X-Forwarded-For. Отсюда вопросы:
1.Как настроить HEADERS -> HTTP Message Header -> X-Forwarded-For(out), чтобы при входе на сайт в X-Forwarded-For было например не 111.111.111.111 а 222.222.222.222 ? Или как исказить информацию в нем.
2.Как можно в Proxomiton использовать переменную RANDOMIZE or RND ?

Цитата:

2.Как можно в Proxomiton использовать переменную RANDOMIZE or RND ?

Никак.

Цитата:

1.Как настроить HEADERS -> HTTP Message Header -> X-Forwarded-For(out), чтобы при входе на сайт в X-Forwarded-For было например не 111.111.111.111 а 222.222.222.222 ? Или как исказить информацию в нем.

Такие заголовки обычно добавляют прокси-серверы. Браузеры такие заголовки не посылают и соответственно менять нечего.

sonar790:

Цитата:

1. Proxomiton может изменять значения в HTTP_VIA и X-Forwarded-For

Попробуй фильтр X-Forwarded-For (out): переименовать в X-Forwarded-For: (out). Как работает этот фильтр, написано в справке:

Цитата:

Similar to the "Forwarded:" filter, this is an example of how to add the "X-Forwarded-For:" header filter as some non anonymous proxy servers may use. This will not remove such a header however (since the proxy adds it after it's already left Proxomitron).

Цитата:

2. Как можно в Proxomiton использовать переменную RANDOMIZE or RND ?

Можно достичь аналогичных результатов, используя команды $DTM(t) и $DTM(c).

Вышел новый вариант сборки Prox-RE v 0.9beta2 :

http://www.proxomitron.ru/board/viewtopic.php?p=5161#5161

народ, подскажите плиз правильный фильтр для резки банеров руборда, а то нынешний режет сообщения о новых письмах в ПМ, устал уже руками туда ходить...

pop2ROOT
Из сборки "Prox-RE v 0.9beta2" - Ru.Board Ad killer {site} [ALX]
Все ок.

подскажите плиз как подключить сабж к Tor ?
заранее спасибо

fedmun

Цитата:

Из сборки "Prox-RE v 0.9beta2" - Ru.Board Ad killer {site} [ALX]

а можно запостить или в ПМ, а то всю сборку качать... очень прошу!