プロキシサーバ総合

[0001 ちゃきり 03/08/01 23:51 ID:AC+5RX3C]

プロキシスレがないようなので立てました。

Squid
http://www.squid-cache.org/

Delegate
http://www.delegate.org/delegate/

自宅串鯖を外部公開している兵はおるかい？
とりあえず自分はDelegateを使って
アプリケーションゲートウェイを立てようと思ってます。

[0159 DNS未登録さん 04/08/28 23:47 ID:???]

>>158
やりたいゲームって何よ？
使ってるポートとか。
海外で日本のIPを提供するプロバイダって無いのかな？
AT&Tは日本でサービスしてるけどアメリカのIPをくれると聞いたことがある。

[0160 DNS未登録さん 04/08/30 00:53 ID:???]

LineageってMMORPGです。
海外IP弾くようになったんですが串させばいけるはずと聞いたんで。
ポートは2000-2010みたいです。

[0161 DNS未登録さん 04/08/30 03:29 ID:cas5fCag]

日本IPになるプロクシレンタルしてるとこなかったっけ？

[0162 DNS未登録さん 04/09/09 08:27 ID:???]

sockscapを使いたいのですが、sockscap32をインストールしようとしたら
「16ビット　Windows サブシステム
　C:\WINDOWS\SYSTEM32\AUTOEXEC.NT.システムファイルはMS-DOSおよびMicrosoft Windows アプリケーション
を実行するのに適していません。アプリケーションを終了するには、[閉じる]を選んでください。」
と出てインストール出来ませんでした。
[無視]っていうのを押してもだめでした。
どうやったら出来るでしょうか。よろしければどなたか教えてください。
OSはwinxpです。

[0163 DNS未登録さん 04/10/11 11:36:27 ID:FXhWtmna]

質問です。

PHSのカードで64kで通信しているんですが、プロキシを立てるのと
ブラウザのキャッシュを増やすのはどちらが効果的なんでしょうか？。

別にサーバを立てるつもりはなく、同じノートパソコン内に
プロキシを立てるつもりです。

[0164 烏丸ちとせ ◆G/mqESF7Ns 04/10/11 14:33:53 ID:???]

>>163 それはプロキシサーバのキャッシュの効果を期待してるってことですよね。
ブラウザを使うクライアントマシンがいくつかあるならキャッシュ付きプロキシは
有効だと思いますけれど、一台だけならブラウザのキャッシュでいいんじゃないでしょうか。
あぁ、そうそう、PC一台でもブラウザいろいろ使い分けるならプロキシ使う
意味がありますわね。

[0165 163 04/10/11 15:16:58 ID:???]

>>164 さん
お返事ありがとうございます。
現在のところノート１台のみ使用で、ブラウザも１つだけです。
ブラウザのキャッシュを増やしてみようと思います。

[0166 DNS未登録さん 04/10/11 23:04:34 ID:???]

AirProxyをつかって友達にフレッツスクエアを見せるということを遣ってみたのですが
どうにも速度計測と動画があかんのですわ（WMPに串の設定をしてもだめ）
WMPのストリーミングを通せる串ってないものですかねえ

[0167 DNS未登録さん 04/10/12 15:12:00 ID:???]

>>166
ストリーミングの場合はmmsとかrtspとかのhttp以外のプロトコルを使うのが
一般的なので、それら専用のプロキシが必要。

Helix Proxy (by Real Networks)とか、Microsoft ISA serverとか
QuickTime Streaming Serverとかもあるけどどれも有償だな。

[0168 DNS未登録さん 04/10/12 16:11:47 ID:???]

>167
rtspなら、

http://www.rtsp.org/2001/proxy/

に参照実装があるぞ。FreeBSDならportsにもなってる。(/usr/ports/net/osrtspproxy)
ソース配布なので、NT/2K/XPの場合どうやってコンパイルするか？って
問題はあるな。

[0169 DNS未登録さん 04/10/28 22:18:25 ID:cIEn5UxI]

質問おねがいします。

月１ﾏﾝ２ｾﾝ円専用鯖を知人が借りたんですが、
勝手に使ってよいとの事だったんですが、公開プロキシサーバーとか
キャッシュサーバーって出来ますか？

取り合えず　Linuxは赤帽　Apacheとか一般的な奴は入っています。

[0170 DNS未登録さん 04/10/28 22:40:51 ID:???]

さば会社に聞けよ

[0171 DNS未登録さん 04/10/29 10:37:57 ID:???]

>>169
「できる」ということと「やっていい」ということは必ずしも同じではない。

不特定多数が使えるプロクシを動かするつもりなら死ね。

[0172 DNS未登録さん 04/11/01 19:20:38 ID:OqdLrovg]

Squidなんですが、セグメント単位に何接続まで接続OKとかって制御したいのですが、何かよい方法ないですかねぇ？
これがダメならSquid以外を検討しなきゃいけない．．．．

[0173 DNS未登録さん 04/11/01 21:48:44 ID:???]

そんなケッタイな設定ができるものは squid 以外にも存在しないと思われ。

[0174 DNS未登録さん 04/11/03 20:09:50 ID:???]

>172
そんな変な設定が必要だと思った理由は何？

[0175 174 04/11/04 17:20:07 ID:???]

172は帰ってこないようだが...
多分特定のネットワークを優先したいのではないかな？

帯域制御ができるルータを入れるのが一番確実だが、お手頃な
解としては、優先しない方のネットワークとの間に、10BaseTの
ハブを入れてしまうという手がある。10BaseTは一応10Mbpsって
事になっているが、半二重だしまぁ5Mbpsもでないだろ。

[0176 DNS未登録さん 04/11/16 15:43:07 ID:hVnIlG+u]

>>172
セグメント数だけconf作って違うプロセスおったてる。

・192.168.1.0/24向け：squid1.conf
http_port 60001
acl clients src 192.168.1.0/255.255.255.0
acl maxconnect maxconn <number>
http_access allow clients !maxconnect
http_access deny all

・192.168.2.0/24向け：squid2.conf
http_port 60002
acl clients src 192.168.2.0/255.255.255.0
acl maxconnect maxconn <number>
http_access allow clients !maxconnect
http_access deny all

・192.168.3.0/24向け：squid3.conf
http_port 60003
acl clients src 192.168.3.0/255.255.255.0
acl maxconnect maxconn <number>
http_access allow clients !maxconnect
http_access deny all

~/sbin/squid -f ~/squid1.conf &
以下略。
クライアントはセグメント毎に違うポートでアクセス。

>>175
delay_poolsで帯域制御。

[0177 DNS未登録さん 04/11/19 03:47:55 ID:???]

delay pool

[0178 DNS未登録さん 04/11/19 18:17:15 ID:???]

>>175
それだったら、PC側でNICの設定を10Mhalfとかにしちゃえばいんでないか

[0179 176 04/11/19 18:42:20 ID:???]

>>177
ん?

>>178
台数多かったらなぁ。( ﾟДﾟ)ﾏﾝﾄﾞｸｾｰ

[0180 DNS未登録さん 04/11/30 15:06:30 ID:???]

squidで、通過するhttpリクエストに対してURLをコメントとして付加してくれるよ
うな事は可能でしょうか？（Windowsのproxomitoronのﾌﾟﾗｸﾞｲﾝみたいな）

ｸﾞｸﾞｸﾞってみたけどちょと分からなかったので。

[0181 DNS未登録さん 04/12/02 02:25:22 ID:X7+oZSKX]

学校のWebフィルタを回避するためにDelegateが使えるのかとおぼろげながらおもってます。
学校内のパソコンをA、自宅のDelegateサーバ(ISPからglobalIPもらってる)をB、Internet上の
任意のサイトをCとします。Aは学校内の指定されたDというproxyサーバを通らないと外に出られ
ないとします。
Delegateのページを見ると、http://delegateサーバ/-_-/http://Cという風に書くと学校の外の
delegateサーバ経由で任意のサイトにアクセスできそうなのですが、Cという文字列は当然パケット
の内部にそのまま見えるので、Webフィルタにひっかけられるのでは?と思います。
なので、Delegateサーバで同時にhttpsのサーバもたちあげることで、A-B間はSSL通信で他者からは
Bにアクセスしてるようにしか見えない(Cがどこであれ)、かつB経由でどのCにもアクセスできる
というので考え方があってるかと、実際可能か教えてください。

何分勉強しはじめで何をキーワードにググレバいいのかも浮かばず悩んでます。

[0182 DNS未登録さん 04/12/02 12:35:12 ID:???]

その用途には、Delegateよりcgi-proxy が向いているんじゃないかな

[0183 DNS未登録さん 04/12/02 19:05:36 ID:???]

>>181
そこまでして学校から繋げたいのかぁ？　って思っちゃうね。
PHS や AirH" とか ホットスポットなどの無線LANを用意して使えば…？
ネットワーク関係の勉強にはなるかもね (^^;

[0184 DNS未登録さん 04/12/03 08:54:02 ID:???]

>>181
見たいWebホストのIPアドレス/URLを学内ネットワーク管理者に提出・稟議をかける。
やる勇気が無いならあきらめる。

ちょっとは学内NW管理者の身にもなってみろ。

[0185 DNS未登録さん 04/12/03 17:42:55 ID:???]

>>183-184
まぁまぁ、若者の好奇心を無下に切り捨てるのはいかがなものかと。

自宅鯖があるなら、SSHでポートフォワーディングしてごにょごにょ...
なんつー解があるが、そこまでできるかな？>>181

公開プロキシなんて使うもんじゃないよ。公開している香具師が何考えて
いるかわからんのだから。
＃一説にはパスワードの収集と言われている...

[0186 DNS未登録さん 04/12/05 13:36:46 ID:???]

防火壁に穴あけたいという質問には答えられませんよ

[0187 DNS未登録さん 04/12/07 18:29:54 ID:???]

>>185
テスト環境と実環境をごちゃまぜにするのはいかがなものか。

[0188 DNS未登録さん 04/12/10 20:00:23 ID:???]

>187
学校のネットワークだろ？法に触れない程度の多少の無茶は許されても...と
思わなくは無いか？向上心を摘み取るのだけは嫌なのだよ。少しでも優秀な
香具師が育ってくれないと困るのはこっちだからなぁ。

もちろんnyやりたいとかぬかすのなら逝ってよしだが。

[0189 DNS未登録さん 04/12/10 20:09:59 ID:???]

研究室とか倶楽部とか同好会の中で大手を振って研究すれば良いじゃん…
ｺｿｰﾘやろうとするから問われるだけじゃない…多分。

[0190 DNS未登録さん 04/12/10 20:20:38 ID:???]

>190
元の質問者の状況がわからんからなんとも言えないが、
そういう所で堂々とやった方が問題にされないか？

すでに自由にできる技術と環境を得てしまっている者には
ない渇望感ってのがあるでしょ。それは向上心のための重
要なエネルギーなんだが。

＃若かりし頃、パソコン買えなくて必死でASCII, I/Oから
　インターフェース、トラ技まで読んでいた自分が不憫で
　ねぇ。でもそのおかげで今の技術力があるわけだし。

[0191 190 04/12/10 20:22:54 ID:???]

い、いかん。認知症か漏れは...orz
もちろん>>189宛てだよ。

[0192 DNS未登録さん 04/12/11 08:43:15 ID:NYgL9GaO]

Simple Repeater stone version 2.2c
http://www.gcd.org/sengoku/stone/Welcome.ja.html
Windows で stone 動かそうと思ったら、
libregex.dll がないって怒られた。
この DLL は何か別のライブラリに含まれているものですか？

[0193 DNS未登録さん 04/12/11 09:43:50 ID:NYgL9GaO]

OpenSSL 対応版のアーカイブを落としたら入ってました。

[0194 DNS未登録さん 04/12/12 07:50:06 ID:???]

>>181
まずは OSI参照モデル から勉強しよう。

[0195 DNS未登録さん 04/12/14 19:02:20 ID:???]

>>188
学校だったらテスト環境にグローバルの1つや2つ持ってないのかね?

[0196 DNS未登録さん 04/12/14 23:00:20 ID:???]

>195
・「アドレス」を忘れるんじゃない。
・「学校」というと小中高だと思われるが、そんな所は大抵SI業者
　の言いなりだから、あっても不明と思われ。
・大体グローバルアドレスが余っていたとしても、それを使う事自体が
　大変まずいだろう。

[0197 DNS未登録さん 04/12/16 16:18:48 ID:???]

(このスレで良いのか分かりませんが)質問です。

ＦＣ２環境下でＮＩＣ２枚挿しの透過プロキシを構築中なのですが…

ifconfig eth0 0.0.0.0 promisc
ifconfig eth1 0.0.0.0 promisc
brctl addbr br0
brctl addif br0 eth0
brctl addif br0 eth1
ifconfig br0 192.168.1.1 netmask 192.168.1.255 broadcast 255.255.255.0 up

と言う具合に仮想インターフェース(br0)に直接アドレスを振れば動作可能なのですが、
この仮想インターフェース(br0)を別のＤＨＣＰサーバから自動で割り当てる様にしたいのですが、
どのように設定をしたらよいのかわかりません。

　　/sbin/dhclient br0

とやってもDHCPサーバからアドレスを取得できませんでした。

何かヒントを戴けると幸いです。m(_ _)m

[0198 DNS未登録さん 05/02/23 03:03:43 ID:735mYJEz]

くそう
WinNT のバイナリだと
--disable-internal-dns オプションが使えねー

しょうがなく
squid.confで
dnsserver 127.0.0.1で誤魔化した

[0199 DNS未登録さん 05/02/23 22:20:00 ID:???]

>>181
学校内のPCにはソフトインストール不可でいいのかな。
インストールできるならSoftEtherでこと足りるんじゃ？

[0200 DNS未登録さん 05/03/11 21:45:57 ID:Cz0fuzFF]

Windows版のdelegateをPOPプロキシとして使用しています。
POPサーバー → delegate → クライアントPC の経路で、
「Content-Type: text/html」を「Content-Type: text/plain」に置換したいのですがどうすればよいでしょう?
本文のタグ等は削除せずそのままで、ヘッダーの1行だけを書き換えたいのです。

test.cfiに
> #!cfi
> Content-Type: text/html
> Output/Content-Type: text/plain
と記述してFTOCL=test.cfiと指定したところ、ヘッダーだけしか通過しなくなってしまいました。(本文が0バイト)

同様のことができるものならdelegate以外でも構わないのですが。

[0201 DNS未登録さん 2005/04/02(土) 15:03:58 ID:UP9DT804]

DeleGateについての質問です。

プロキシモードを"RELAY=delegate"(/-_-URL)にした場合、
httpのページは見ることができますが、httpsのページをみることができずに
HTTP 400 - 正しくない要求になってしまいます。

"RELAY=proxy"の場合はhttpsのページをみることができました。

カスケードではhttpsを見ることはできないのでしょうか？
見ることが可能ならば、正しい設定方法がありましたら教えてください。

[0202 DNS未登録さん 2005/04/03(日) 01:20:34 ID:???]

delegate はよく知らんが、HTTP と HTTPS はプロクシの仕組みが
まったく異なるので無理なんじゃねーの？

[0203 DNS未登録さん 2005/05/10(火) 01:23:04 ID:zmUxZ/r3]

delegateでtelnetプロキシやftpプロキシを立てると、
接続時に

--
-- @ @ NVPROXY PROXY-telnet server DeleGate/8.11.3
-- ( - ) { Hit '?' or enter `help' for help. }
DeleGate/8.11.3 (April 22, 2005)
AIST-Product-ID: 2000-ETL-198715-01, H14PRO-049, H15PRO-165
Copyright (c) 1994-2000 Yutaka Sato and ETL,AIST,MITI
Copyright (c) 2001-2005 National Institute of Advanced Industrial Science
and Technology (AIST)
WWW: http://www.delegate.org/delegate/

ってログインバナーが出るんですけど、このバナーっていじることできないんですかね？

[0204 DNS未登録さん 2005/05/15(日) 22:01:43 ID:???]

>>203
自己解決しました

[0205 DNS未登録さん 2005/05/16(月) 23:29:25 ID:???]

>>204
解決したなら、どう対処したかぐらい報告すればいいのに。

[0206 DNS未登録さん 2005/05/17(火) 02:08:40 ID:???]

そうそう…　ギブ＆テイクだな…

[0207 DNS未登録さん 2005/05/17(火) 13:05:37 ID:???]

>>204
それはわかっております。

>>205-206
どうやらVIP板とかいう所から発生したネタみたいだから、
迂闊に回答しない方がいいみたいだよ。

[0208 204 2005/05/19(木) 22:41:37 ID:???]

>>205
ソースから、builtinフォルダに入ってる該当のファイルを書き換えてmountさせたらできました。

[0209 DNS未登録さん 2005/05/26(木) 13:49:25 ID:???]

header_access X-Forwarded-For deny all
header_access VIA deny all

どうだ？



（そもそも串ヘッダーの規制ない）

[0210 DNS未登録さん 2005/05/26(木) 14:49:12 ID:???]

>209
そんな事したら、正当なプロキシから来る香具師がかわいそうではないか。

[0211 DNS未登録さん 2005/05/26(木) 15:58:36 ID:???]

>>210
header_access はそういう意味じゃない。

[0212 DNS未登録さん 2005/05/26(木) 17:13:47 ID:???]

仕様変更前 ( 2.3 )
anonymize_headers deny Via
anonymize_headers deny X-Forwarded-For

外部には公開してないし
アクセスコントロール目的だから変数が出ては困る

ttp://taruo.net/e/ での表示
その他の情報
HTTP_CONNECTION . keep-alive　
HTTP_CACHE_CONTROL . max-age=43200

cache-controlって殺したほうがいい？

[0213 DNS未登録さん 2005/05/28(土) 07:57:03 ID:???]

>>212
2chで以前ためした時にはlive系の一部の鯖で串規制に引っかかった。
たまたまCACHE_CONTROLしか吐かない串ツール使ってて、の結果だけど

[0214 通りすがり 2005/05/28(土) 16:10:45 ID:qsX6MrG/]

>>181
そういえば最近、ブラウザとcgi-proxyの中間に挟む形で
使うプロキシ見つけたんだが...手っ取り早く済ますなら、
これが一番では？
WebProxy2
http://www.age.jp/~lunar/lunar-night.lab/jump-dl_webproxy2/lang-ja
過去ログにあったWebProxyの配布元で発見。

ブラウザからのリクエストはWindows or Javaのクライアントアプリが
受けとり、クライアントアプリはcgi-proxyにブラウザからの
リクエストをPOSTし、帰ってきたデータをブラウザに戻すんだとか。

cgi-proxyのようにリンクが切れたりCookieが使えなかったり、
URLフィルタに引っかかるような問題も無く、
Mozillaで試した限り動作は安定、HTTPサイトであれば、
何処でもつなげることが出来たけど。

どうだろう？

[0215 DNS未登録さん 2005/05/28(土) 16:28:23 ID:???]

遊んでみた
その他の情報
HTTP_VIA . なにみてんだよ（ｗ
HTTP_CONNECTION . Keep-Alive　


header_access X-Forwarded-For deny all
header_access Via deny all
header_access Cache-Control deny all
header_replace Via なにみてんだよ（ｗ

[0216 DNS未登録さん 2005/05/28(土) 19:15:28 ID:8iquFzXt]

http://203.135.205.224:8080/
http://203.135.205.224/

[0217 DNS未登録さん 2005/06/01(水) 20:55:12 ID:???]

ビロキシサーバーっておいしいですか？？

[0218 DNS未登録さん 2005/06/01(水) 22:44:25 ID:???]

ボルシチサーバーはおいしいよ

[0219 DNS未登録さん 2005/06/02(木) 02:27:31 ID:DeF/OjA8]

プロクシおいしいよピロクシ

[0220 DNS未登録さん 2005/06/15(水) 22:27:49 ID:???]

http://sexstump.com/
をのぞいてください。
楽しい動画や、セクシュアルな静止画がたくさんあって興奮します。

[0221 DNS未登録さん 2005/06/17(金) 21:55:12 ID:???]

こんな過疎スレに宣伝して意味あるんだろうか

[0222 DNS未登録さん 2005/06/17(金) 22:28:28 ID:???]

ぢつは踏み台にしてくれよというﾒｯｾｰｼﾞだったり

[0223 DNS未登録さん 2005/06/19(日) 12:13:33 ID:???]

squidとApacheの他にキャッシュサーバソフトって無いの？
OSは問わない。

[0224 DNS未登録さん 2005/06/19(日) 12:48:36 ID:???]

GWA

[0225 DNS未登録さん 2005/06/20(月) 02:53:02 ID:???]

DeleGateはどうか

ハードとか有料なら星の数ほどあるけど

[0226 DNS未登録さん 2005/06/20(月) 22:19:57 ID:???]

Delegate で CFI を使ってリクエストに対するレスポンスを書き換えようとしてるんですけど、
GETリクエストのみにしか効きません。
起動時オプションで FTOCL=/home/chiko/test.cfi を指定しておいて当該ファイルには

#!cfi
X-Request-Method: GET
Content-Type: text/html
Output-Postfix: (GET)
--
X-Request-Method: POST
Content-Type: text/html
Output-Postfix: (POST)

と書いておくと、フォームにPOSTした後の場面だけ CFI が効いていないのです。
POSTでもCFIを効くようにするにはどうしたらいいでしょうか？
Delegate 8.11.4 です。

[0227 DNS未登録さん 2005/06/22(水) 16:29:20 ID:HtS6s+GP]

socksサーバを立てたいのだが、どんなのがある？

[0228 DNS未登録さん 2005/06/23(木) 12:12:27 ID:???]

ttp://www.kutsushitaya.jp/

[0229 36 2005/07/03(日) 01:40:44 ID:k/gxUIpK]

http://gakusei.or.tp/

[0230 DNS未登録さん 2005/07/12(火) 07:19:38 ID:???]

FreeBSD上のsquid/2.5.STABLE9でHTMLの書き換えをやりたいんですが、
素直にDelegate入れたほうが簡単ですかね？

[0231 DNS未登録さん 2005/07/12(火) 09:31:06 ID:???]

squid はそういう目的で作られてませんので。

[0232 DNS未登録さん 2005/11/14(月) 01:47:22 ID:???]

delegateのCFIの書き方で参考にできる所ってどこかにありませんか。
認証とかフィルタリングとかは何とかできるようになったので
CFIをいろいろ試してみたいので

ぐぐってもdelegateのリファレンスくらいしかHITしなｂｭて
いまｂ｢ち書き方がよｂｭわかりません＝B

[0233 DNS未登録さん 2005/12/29(木) 13:16:59 ID:yiKmMdrN]

tes

[0234 DNS未登録さん 2005/12/29(木) 13:22:49 ID:yiKmMdrN]

tes

[0235 DNS未登録さん 2006/01/16(月) 16:17:34 ID:???]

零細でネットワークを管理させられてる者ですが、
昨年でWebメールを使って会社の情報を漏洩させた者がいたので、
この度squidでproxyを立ててブラウザを強制的に通し監視することになったのですが、
Webメール等のファイル添付やアップローダでupを規制する良い方法ってないでしょうか。

[0236 DNS未登録さん 2006/01/16(月) 16:50:27 ID:C8Nib6JU]

外部公開の串鯖を立ててる奴って
なんの為にやってるのかな？

[0237 sage 2006/01/16(月) 18:01:19 ID:???]

>>235
悪さしようとする者は、何を規制してもすり抜けてくるから難しいと思うな。
…だから何もしない、と言うわけにも行かないだろうけど。

アクセスログ取って、ファイル添付などの制限も行っているよ〜　と、告知
することで抑止効果を狙う事かな。

市販品の F-Secure Linux ゲートウェイ 使っているけど、それなりの効果は
あるね。これだけあれば万全という訳ではないけど (^^;

Winny は論外だが、Skype などの P2P も便利だけど悪用しようとしたら管理
者泣かせのソフトだしね。その辺の使用についても徹底しないとならないから
大変だと思うよ。

うちの会社、シンクライアント端末になってて、USBの口がないから、USB
メモリなどへのコピーが物理的にできない…　USBの便利なツールも使えない。
痛し痒しだね。

因みに営業が10名程度の小さな会社です (^^;

>>236
なんの為だろうね？　情報収集かな？

[0238 DNS未登録さん 2006/01/16(月) 22:05:04 ID:???]

acl POST method POST
http_access deny POST

[0239 DNS未登録さん 2006/01/17(火) 21:29:57 ID:???]

>>235
webメール用のURLを片っ端から調べ上げてアクセス不可リストに組み込むってのは?ｗ
公開串使われたら終わりだけど

[0240 DNS未登録さん 2006/01/17(火) 21:36:02 ID:???]

webメールURL集を作るなら是非協力したいですぅ

[0241 DNS未登録さん 2006/01/18(水) 01:19:01 ID:???]

>>235
acl fileupload req_mime_type -i ^multipart/form-data
http_access deny fileupload

こんな感じ？

[0242 235 2006/01/19(木) 03:53:35 ID:???]

>>237
P2Pソフトもですか・・・ポート塞いでいれば安心ってわけでもないのでしょうか。
あの手のソフトはよく知らないので、今後対策を練ります。
予算が降りればゲートウェイや専用のフィルタリングソフトも導入したのですいが
現状はsquidの規制とルータのパケットフィルタで対処します。

>>239
クライアントがWindowsなので一応ActiveDirectoryのポリシーで
Proxyの設定変更に規制をかけています。

>>238,240,235
ありがとうございます。
acl ALLOWURL url_regex "/etc/allowurl.txt"
http_access allow ALLOWURL POST
http_access deny POST
を付け加えまして、許可したサイト以外はPOSTさせない事ができました。
理想通りの物が出来たので助かりました。

[0243 DNS未登録さん 2006/01/19(木) 09:14:58 ID:???]

> P2Pソフトもですか・・・ポート塞いでいれば安心ってわけでもないのでしょうか。

じゃないです。
skypeやSoftEtherなんかはポート80使う場合もあるし。
FWで止めるにも、winnyとかはOnePointWallくらいしか対応してるFWが無いので（たぶん）
web閲覧は全部Proxy経由で、Proxyサーバ以外の通信は全部FWで止めると良いよ。

> クライアントがWindowsなので一応ActiveDirectoryのポリシーで
> Proxyの設定変更に規制をかけています。
これだけではUSBメモリ等で持ち込んだfirefoxとかに対応できないので。

予算があればLanscopeとか、Interscan Webmanagerとか。

[0244 DNS未登録さん 2006/01/22(日) 17:39:34 ID:???]

自鯖でイカを飼ってるんだが、こんなメールが来た。


From: "N" <?????_????@hotmail.com>
To: hoge@fuga
Subject: hogeについて質問
> http://hoge.huga　←自鯖のURL
>
> どこのサイトに関わらず、ボタンをクリックしたときこのアドレスがfirfox仕様時に
> 限り毎回表示されるのですが
> これはスパイウェアなのでしょうか
>
> spybotもmicrosoft anti-spywereもDLするためにクリックするとここに飛ばされるの
> で導入できませんし
> 掲示板の書き込みも全て不可能になってしまいました
>
> 数日中にご返事が無い場合は念の為に通報させて貰います
>

イカの設定を結構多目に設定していて、
丸の内.●cnやら、貴方網.netやらをACLで弾きつつ、
deny_infoで、自鯖の80へ誘導するURLを書いている。
丸の内.●cn.ne.jpあたりから自鯖のイカに繋げられないので、苦情メールを出したようだ。

[0245 244 2006/01/22(日) 17:55:34 ID:???]

ほんでもって次のように返信した。返事は未だ返ってこない。
どこにどうやって通報してくれるのか、大変気になっていただけに、大変残念である。

> こん○○は。hogeです。
>
> 2005/09/17 午後 1:14:06に送信された
> ???? ????氏のメールを引用しています。
>
> > http://hoge.huga
> >
> > どこのサイトに関わらず、ボタンをクリックしたときこのアドレスがfirfox仕様時に
> > 限り毎回表示されるのですが
> > これはスパイウェアなのでしょうか
> >
> > spybotもmicrosoft anti-spywereもDLするためにクリックするとここに飛ばされるの
> > で導入できませんし
> > 掲示板の書き込みも全て不可能になってしまいました
> >
> > 数日中にご返事が無い場合は念の為に通報させて貰います
>
> 当ウェブページおよび、hugaサーバー群は、スパイウェアを仕込む仕組みを
> 一切組み込んでおりません。
>
> 当サーバー群では、一部プロバイダからのアクセスを自動的に
> http://hugaに案内するように設定しております。
> プロキシサーバーを使わないように設定することで、当該症状は解消されるかと思います。
>
> また、他の悪意あるソフトウェアが
> http://huga
> を見るように設定している可能性がありますので、
> シマンテック、トレンドマイクロなどのアンチウイルスソフトを入れる事についても
> ご検討される事をお勧めします。

自宅串鯖を外部公開している一兵卒の一人ではあるが、こんなメールが来るとは想定の範囲外だった。

[0246 DNS未登録さん 2006/01/23(月) 12:11:52 ID:???]

>244-245
その苦情先がなんでそんな嵌めになったのかは興味深いことだが、
公開串は止めとけ。
それともパスワード狙いか？...公開串使う香具師が馬鹿だとは言え、
収集したUID/PWDを使ったら、おまい犯罪者になるからな。

[0247 DNS未登録さん 2006/01/23(月) 14:17:35 ID:???]

引数のログ有効にして全部ストアしておくと面白いかも。

[0248 244 2006/01/24(火) 01:15:51 ID:???]

>>246
パスワード狙いで
methodの POST CONNECT
あたりを使えるようにすると、中華がやってくるもんだから、
POST、CONNECTはdeny扱いにしてある。

yahoo.comや、icq.com:443あたりにも頻繁にアクセス来るもんだから、
串側ではパスワード入力 (がありそうなアクセス) を弾くようにしている。
エロサイトのUID/PWDを収集するまえに、パスワードクラック用の足場にされるだろう。

公開串を立てるのは、それなりにリスク大きいが、
対策を練っていく過程で得られる、ノウハウやら情報も大きいもんだから、
未だに公開串を止められずにいる。何かあったらすぐに止める予定ではあるが、踏ん切りがつかない。

UID/PWDを収集するより、串を公開する事で得られるノウハウのほうがずっと魅力的だ。
今のところ、log収拾とネットワークで遊ぶために串を立てている。

>>247
debugオプションを特に指定していないが、access.logだけで1GB超だ。
debugオプション有効にして詳細log取ったら、何GBになるのか予想がつかない。
機会をみてHDD増やしてみるヨ！

fuga> ls -la access.log*
-rw-r--r-- 1 squid squid 60084139 1 24 00:57 access.log
-rw-r--r-- 1 squid squid 263756663 1 22 00:00 access.log.0
-rw-r--r-- 1 squid squid 266148054 1 15 00:00 access.log.1
-rw-r--r-- 1 squid squid 270819993 1 8 00:00 access.log.2
-rw-r--r-- 1 squid squid 229430344 1 1 00:00 access.log.3
-rw-r--r-- 1 squid squid 252829755 12 25 00:00 access.log.4

[0249 DNS未登録さん 2006/01/24(火) 05:43:12 ID:???]

>>248
実に興味深い
もっと熱く語ってくれ

[0250 244 2006/01/24(火) 23:03:51 ID:???]

>>248 をちょっと訂正するけども

> methodの POST CONNECT
> あたりを使えるようにすると、中華がやってくる

と書き込んだが、中華圏外からも、
CONNECT XXX.XXX.XXX.XXX:25
CONNECT login.icq.com:443
のリクエストは世界中から絶えずやってくる。
中国/韓国/台湾からのCONNECTリクエストが特に多い。というのが正しいかな。

大量のCONNECTリクエストにうんざりして、ルーター側で韓国/中国/台湾との通信を切った。
他にもポートスキャンやらSPAMやら届くので、(宛先ポートで判別せず)IP単位で切った。
統計をとった訳ではないが、体感で7〜8割ほどCONNECTリクエストが減った気がする。

hoge>cat Packet-Filtering-Config-acl-10.txt
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
! Blocking from China,Korea,Taiwan,!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

access-list 10 DENY 211.XXX.0.0 0.63.255.255
access-list 10 DENY 59.XXX.0.0 0.63.255.255
access-list 10 DENY 61.XXX.0.0 0.63.255.255
access-list 10 DENY 211.XXX.0.0 0.31.255.255
access-list 10 DENY 125.XXX.0.0 0.31.255.255
access-list 10 DENY 203.XXX.0.0 0.31.255.255
----100行以上あるので省略----

[0251 DNS未登録さん 2006/01/25(水) 17:27:16 ID:???]

>>250
技術的にも興味を引く内容が多かった
もし気が向けばまた何か書いて欲しい

[0252 244 2006/01/27(金) 00:21:04 ID:???]

>>247

debugオプションをちょい変更してみた。

旧: debug_options ALL,1
新: debug_options ALL,1 23,9 28,9 55,9 56,9 73,9 74,9 77,9

一部を有効にするだけでlogが爆発する。
一ヶ月で40GB以上は喰いそうだが、ちょいと予想できない。
全部ストアするように(ALL,9に)すると、100GB単位で容量を喰いそうだ。

んでもって、前から気になってた　「山ほど来るyahoo.comへのアクセス」　を調べてみたんだけども
↓こんなlogが大量に出てくる。（UID/PWDと思わしきモノは伏せてある）

2006/01/25 02:31:32| storeKeyPrivate: GET http://edit.europe.yahoo.com/config/login?.redir_from=PROFILES?&.tries=1&.src=jpg&
.last=&promo=&.intl=us&.bypass=&.partner=&.chkP=Y&.done=http://jpager.yahoo.com/jpager/pager2.shtml&login=??????? &passwd=????

どう見てもSPAM業者からのアクセスです。
本当にありがとうございました。

SPAMばら撒き用IDを何処かで取得したあと、公開串を踏み台にしてSPAMをばら撒く魂胆なのだろうと見ている。
logに載ってるUID/PWDを使うわけに行かないので、これ以上の追跡調査は無理そうだ。
犯罪者にはなりたくないもんだ。

yahoo.com向けをdenyにしておいて良かったヨ。

[0253 DNS未登録さん 2006/01/27(金) 00:24:36 ID:???]

>>252
このスレあなたにさしあげます
どんどん書いてくだちい

[0254 244 2006/01/27(金) 00:31:57 ID:???]

勘弁してくれ！

[0255 DNS未登録さん 2006/01/27(金) 00:32:46 ID:???]

でもなかなかタメになってGOOD！ですよん

[0256 DNS未登録さん 2006/01/31(火) 20:36:09 ID:???]

とても興味深いよ
俺なんか屁ﾀﾚだから公開したくても公開なんか出来ないし。

[0257 244 2006/02/01(水) 00:00:53 ID:???]

公開串は止めとけ。とよく言われるけども、
実際にどういう目に遭ったのか、何処にも居ないしなぁ。

"2chに書き込まれ放題で、串リストに載る"とか、
「チャットの踏み台として利用されてたため、余所の揉め事に巻き込まれた」とか、そんなのを予想していたが、
実際は、全自動操縦SPAMer BOTの踏み台だったり、LAN内の鯖を突付くための踏み台にされていたりする事が多い。
たとえばこんなlog

hoge> cat access.log | grep 192.168
1137856119.006 180403 XXX.jp TCP_MISS/504 1332 GET http://192.168.10.1/errors/estilo_erro.css -NONE/- text/html
1137882017.122 0 XXXX.com TCP_DENIED/403 1267 CONNECT 192.168.1.100:5555 - NONE/- text/html
---略---

自宅のイカにはグローバルIPが振ってあり、ローカルIPにはパケット通らないようにしている。
192.168.XXX.XXXへのリクエストも「んなIPにゃパケット通らねぇヨ！！」で終わるが、
http://192.168.0.1　あたりにルーターがあったら要注意だろう。

LAN内の鯖を突付くための、踏み台にされる可能性は十分に考えられる。
「乗っ取られた時に、どう対策するのか」を考慮しておかないと、串鯖一台の被害では納まらないだろう。

[0258 DNS未登録さん 2006/02/01(水) 04:10:57 ID:???]

またおまえか！
激しく乙！

[0259 DNS未登録さん 2006/02/01(水) 20:07:29 ID:???]

実際、故A社のインターネット接続サービスの出口になっていた串鯖は内側へ入ることが出来た。
外側の中継は規制されていたが中には入り放題という。
その社に知り合いが居たので直すように言ったけどね。