Iptables 如何封代理啊?

mj923
Iptables 如何封代理啊?

我和同事用iptables+squid做了一个代理服务器来控制员工的上网行为。
一般QQ和MSN的端口都是封掉的,会开放80端口给员工查阅资料。

但是自从有一个员工找到一个可以用80代理出去的办法之后,其他员工纷纷效仿,MSN和QQ都能上了,搞得我很无奈!

我已经编译好了一台L7-filter的机器,等着上线,但还是想问问不支持L7的iptables能不能封掉80端口出去的代理啊?


请高手们赐教!!

heizi_liu
你仅仅想用iptatables来封QQ或者MSN本身就不行,如果你是开发软件的,那么你可以在netfilter里面分析一下这个协议,然后给把这个类型的包打上标志,或者直接丢掉,那么即使代理都没用的,如果你不是搞软件开发,那么你想封掉这个的话,我想也许l7_filter还是可以用的

anthonyfeng
能不这样子,把条件设为 --dport 80 和 -m layer7 --!http ,符合这样的包全部drop。或者只能通过 --dport 80 -m layer7 --http。

亦可以直接阻止访问外网代理服务器的ip.

楼主,可以把编译安装 L7-filter 的方法转告一下吗? 小弟为此已经忙了好几天了。

[[i] 本帖最后由 anthonyfeng 于 2008-3-31 22:28 编辑 [/i]]

platinum
[quote]原帖由 [i]anthonyfeng[/i] 于 2008-3-31 22:26 发表 [url=http://linux.chinaunix.net/bbs/redirect.php?goto=findpost&pid=6538895&ptid=988003][img]http://linux.chinaunix.net/bbs/images/common/back.gif[/img][/url]
能不这样子,把条件设为 --dport 80 和 -m layer7 --!http ,符合这样的包全部drop。或者只能通过 --dport 80 -m layer7 --http。
[/quote]
这样的话,所有 TCP 协议都用不了了
因为三次握手也被你封掉了

anthonyfeng
那用squid 封 CONNECT 的方法,网上一大把。

platinum
[quote]原帖由 [i]anthonyfeng[/i] 于 2008-4-1 09:14 发表 [url=http://linux.chinaunix.net/bbs/redirect.php?goto=findpost&pid=6539170&ptid=988003][img]http://linux.chinaunix.net/bbs/images/common/back.gif[/img][/url]
那用squid 封 CONNECT 的方法,网上一大把。 [/quote]
代理不一定用 CONNECT,用 CONNECT 的不一定是代理

liuziyang
[quote]原帖由 [i]platinum[/i] 于 2008-4-1 16:07 发表 [url=http://linux.chinaunix.net/bbs/redirect.php?goto=findpost&pid=6539498&ptid=988003][img]http://linux.chinaunix.net/bbs/images/common/back.gif[/img][/url]

代理不一定用 CONNECT,用 CONNECT 的不一定是代理 [/quote]

platinum什么时候变成个老鼠了~:em02: :em02:

ssffzz1
回复 #5 anthonyfeng 的帖子

发现新版的QQ就没用CONNECT方法。N难封的变态玩意。