proxy servers

السلام عليكم ورحمة الله وبركاته

احنا عندنا فى الشبكة بتاعتنا عاملين policy معينة علشان المستخدمين يقدروا يدخلوا على الانترنت
بمعنى مثلا مقفولة عندنا مواقع ال sharing وال torrents وال porn sites

بس المشكلة فيه ناس بتستخدم proxy servers to bypass our policy

وال proxy servers ديه ليه انواع كتير قوى منها ال web proxy الذى يستخدم فى ال cashing وفيه نوع تانى اسمه

ال circumventor وديه a method of defeating blocking policies implemented using proxy servers
most circumventors are also proxy servers, of varying degrees of sophistication, which effectively implement "bypass policies
كمثال الطلاب فى المدارس يمكنهم على المواقع المغلقة بناء على سياسة المدرسة مثل مواقع الشات والمواقع الاباحية الى اخره وذلك عن طريق proxy server (circumventor)

ولما حاولت اعرف شويه عن ال proxy servers لقيته انه بيستخدم random udp and tcp ports
وده يخلى من الصعب انى امكن وصول ال users الى هذه ال proxy servers
لانه اللى لاحظت انه ال user لما بيكلم ال proxy servers بيكلمه على port 80 فى الاول يعنى كانه web server عادى جدا


هل من احد عنده طريقة ممكن امنع بيها ال users من انهم يستخدموا ال proxy servers ديه


وجزاكم الله خيرا

حاول تستخدم الفاير ووووول
وظيفة الفاير ووول دا انه يحول اي Request للتصفح عليه ولما يتم التحويل عليه هو يتحكم بقى فيهم
على فكرة التجربة دي انا عاملها باستخدام فاير ووول زي سيرفر المايكروتك
انا كل اللي عملته اني ضفت رووول ف النات
الرول دا بيحول كل الطلبات عليه وهو كمان بيشتغل على انه بروكسي
ارجو ان اكون عرفت اوضح وجهة نظري

السلام عليكم ورحمة الله وبركاته

شكرا جدا على ردك بس الشبكة بتاعتى سيسكو ومش عندى firewall cisco

انا عارف الميكروتك بس لو تفهمنى حضرتك الميكروتك بيمنع المستخدمين اللى عندك انه يشتغلوا بال proxy server ازاى وانا احاول اطبقها بطرقتى فى الشبكة اللى عندى

انا بس خايف لا تكون فهمتنى غلط

انا مش بقصد ال we b cashing

وعليكم السلام ورحمة الله وبركاته

في عندك حلين ممكن تطبقهم على cisco router

CBAC Content based access control
أو
Zone based firewall

CBAC أسهل

حنعمل Application firewall وحنسميه www
حنخليه يشيك على http ويعمل reset لأي connection مش مطابقة لمواصفات http القياسية
وحنخليه كمان يعمل reset لأي connection فيها tunneling

appfw policy-name www
application http
strict-http action reset
port-misuse tunneling action reset

ip inspect name test appfw www
ip inspect name test http

حط هذا الأمر ip inspect test out على internet interface

int fa0/0
ip inspect test out

جزاك الله خيرا بس انا محتاج افهم بتفصيل الفكرة

لو تقدر تشرحها يبقى ربنا يكرمك

جزاكم الله خيرا على المشاركة
وده ملف خاص بالموضوع ده اسمه HTTP Inspection Engine

https://www.2shared.com/file/6760860...on_Engine.html

كويس أنك لقيت cisco guide

في خدمتك إذا عندك أي إستفسار وبالتوفيق

جزاك الله خيرا اخى على اهتمامك بس دلوقتى فيه حاجة

المفروض inspection rule حطبقها على switched virtual interface موجودة على cisco 6500 catalyst
مثلا ال svi ده اسمه ال interface vlan204 ده الانترفيس اللى بيستقبل ال traffic اللى عايز اعمل inspection
ينفع كما اعتقد انى اطبقها على على هذا الانترفيس inbound

نعم ينفع وهذه المقالة من سيسكو فيها شرح واضح

https://www.cisco.com/en/US/docs/swi...html#wp1082064

أنا ما جربته على 6500 وعادة بنجربه على الراوتر لأنه أسهل في الإعدادات

في نقطة في المقالة وهيmls ip inspect خلي بالك منها

لازم يكون عندك access-list عشان CBAC يشتغل بصورة صحيحة

CBAC عبارة عن IOS Firewall فيه stateful inspection

يعني أي ترافيك طالع من الراوتر, حيقوم الراوتر بتخزين معلومات عن الترافيك مثل نوعه و source و destination
ولما يرجع الترافيك, الراوتر حيشيك عنده في الجدول ويقارن, هل هذا الترافيك طلع من عندي ولا لأ

إذا الترافيك فعلا طالع من الراوتر, الراوتر حيقوم بعمل فتحات او ثقوب في Access-list عشان يسمح لهذا الترافيك انه يرجع ولكن لو هذا الترافيك ما في اي معلومات عنه في الجدول, Access-list حتمنعه

int fa0/0
ip inspect test out
ip access-group 100 in

اقتباس:

---

المشاركة الأصلية كتبت بواسطة qobtan_3005

السلام عليكم ورحمة الله وبركاته

شكرا جدا على ردك بس الشبكة بتاعتى سيسكو ومش عندى firewall cisco

انا عارف الميكروتك بس لو تفهمنى حضرتك الميكروتك بيمنع المستخدمين اللى عندك انه يشتغلوا بال proxy server ازاى وانا احاول اطبقها بطرقتى فى الشبكة اللى عندى

انا بس خايف لا تكون فهمتنى غلط

انا مش بقصد ال we b cashing

---

انت اكتب النص دا
ip firewall nat chain=prerouting protocol=tcp dst-port=80 action redirect to-ports=3128
حيث ان البورت 3128 هو بروت السيرفر البروكسي بتاعك
وكمان حاول تضيف اي بي السيرفر من خلال الباند dst-address
:ah49: