Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » 3proxy

Модерирует : gyra, Maz

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73

Открыть новую тему     Написать ответ в эту тему

slech



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору


Основные используемые версии:
  • Стабильная версия 0.6.1 (11.12.2009) Changelog + загрузка
  • Стабильная версия 0.7.1.4 (23.01.2016) Changelog
  • Стабильная версия 0.8.13 (1.08.2019) Changelog
  • Разрабатываемая версия 0.9b-devel Changelog

    Дополнительно:
  • WrSpy - Анализатор логов и расширенная выдача статистики [веб-архив]
  • Как избежать типичных ошибок при написании файлов конфигурации

    // текущий бэкап шапки...

  • Всего записей: 4893 | Зарегистр. 10-11-2004 | Отправлено: 12:13 11-08-2006 | Исправлено: mvk2006, 10:14 03-12-2019
    TheBarmaley TMP



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Falcon99
    Цитата:
    Блин, а я мучался, думал deny должен быть только один
    да хоть десять, я ж чуть раньше скидывал примеры ч/с - там дени на каждую строку идут..  

    Цитата:
    Спасибо за разъяснения. теперь стало понятнее
    не за что, главное - разобрались..  

    ----------
    один из.. шоб было понятно.. =)

    Всего записей: 4230 | Зарегистр. 10-11-2015 | Отправлено: 18:26 28-01-2016
    Gaborik



    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    TheBarmaley TMP
    В мини-факе слишком категорично утверждение о "Исходя из главного правила - любые разрешения (allow) должны стоять ПЕРЕД запретами (deny)!" Например надо сначала вырезать рекламу, порно (deny * * $ban_list.txt *), потом дать доступ на разрешённые сайты (allow * * $access_list.txt *), а уже потом запретить всё остальное (deny *).

    Всего записей: 24 | Зарегистр. 29-09-2004 | Отправлено: 09:59 29-01-2016
    TheBarmaley TMP



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Gaborik
    Цитата:
    слишком категорично утверждение  
    нормально там всё написано - если правильно (!) ч/б списки составлять..  
    потому как не всегда маски будут неперекрывающимися, и даже если "белая" точнее - срежет по чёрной, стоящей ДО белой..
    короче, спорить не буду, но даже если просто полистать топик - такие грабли были уже неоднократно.. потому и.. =)  
     
    хотя, каэш, никто не мешает экспериментировать и находить частные решения.. возможно - даже рабочие.. )
    которые, впрочем, будут только исключениями из общего правила - ставить разрешения ДО запретов..
    ну.. понимаю, шо "нифига неочевидно", но именно логика работы сабжа к этому и приводит..  
     
    по твоему примеру: сначала дать разрешения на сайты с правильно (!) выставленной маской, потом срезать рекламу/счётчики (идущие, как правило, НЕ с самих ресурсов), потом провести авторизацию и уже непосредственно перед запуском сервиса убрать всякие неоднозначности "заглушкой" deny *.. скажу больше - сама концевая "заглушка" не относится к регулируемым запретам - это просто "нюансик", о котором нужно помнить..

    ----------
    один из.. шоб было понятно.. =)

    Всего записей: 4230 | Зарегистр. 10-11-2015 | Отправлено: 14:30 29-01-2016
    Gaborik



    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    по твоему примеру: сначала дать разрешения на сайты с правильно (!) выставленной маской, потом срезать рекламу/счётчики (идущие, как правило, НЕ с самих ресурсов), потом провести авторизацию и уже непосредственно перед запуском сервиса убрать всякие неоднозначности "заглушкой" deny *.. скажу больше - сама концевая "заглушка" не относится к регулируемым запретам - это просто "нюансик", о котором нужно помнить..

    Твоё решение подойдёт, если надо разрешить доступ к паре сайтов, в моём случае доступ разрешён на национальный сегмент Интернет, и в нём уже надо вылавливать рекламу и что ещё начальству покажется лишним То есть в общем случае выше должны стоять правила для работы с меньшим подмножеством адресов. Но это уже что-то слишком заумно

    Всего записей: 24 | Зарегистр. 29-09-2004 | Отправлено: 16:01 29-01-2016 | Исправлено: Gaborik, 16:11 29-01-2016
    TheBarmaley TMP



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Gaborik
    Цитата:
    Твоё решение подойдёт, если надо разрешить доступ к паре сайтов
    ни разу не обязательно - эта "пара" может быть задана только для полного и необрезаемого доступа, со всеми счётчиками/рекламой и пр.. к примеру - у разрабов сайта, шоб видеть полностью всю картинку.. т.е. сайты целиком - это частный случай, никак не влияющий на общее правило.. в остальных же случаях в белый список добавляются именно нужные маски/шаблоны, которые могут быть вырезаны чёрным списком..
     
    ну к примеру: урлы с вхождениями "resextractor" или "analys" будут недоступны, если в ч/с стоит некое анти-порно по маске "sex" или "anal", работающее на 90% порнушных ресурсов и абсолютно оправданное в ч/с.. ну и прочие похожие ситуации возможны, сам не раз сталкивался на службе - у юзеров не открывались вполне лояльные сайты и/или отдельные странички с них.. и лечатся такие коллизии именно применением правила "разрешения ДО запретов"..  
     
    вопчем, это я к тому клоню, шо не зря, таки, сказано:
    Цитата:
    если правильно (!) ч/б списки составлять
    вопчем, никакой "заумности" тут нет, чисто практический опыт..  
     
    Добавлено:
    ..про белые списки - "хистору из со фар..":
    http://forum.ru-board.com/topic.cgi?forum=5&topic=20458&start=400#7
    http://forum.ru-board.com/topic.cgi?forum=5&topic=20458&start=660#10


    ----------
    один из.. шоб было понятно.. =)

    Всего записей: 4230 | Зарегистр. 10-11-2015 | Отправлено: 09:29 30-01-2016
    Gaborik



    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    TheBarmaley TMP
    Мы говорим одно и то же

    Цитата:
    TheBarmaley TMP
    ну к примеру: урлы с вхождениями "resextractor" или "analys" будут недоступны, если в ч/с стоит некое анти-порно по маске "sex" или "anal", работающее на 90% порнушных ресурсов и абсолютно оправданное в ч/с.. ну и прочие похожие ситуации возможны, сам не раз сталкивался на службе - у юзеров не открывались вполне лояльные сайты и/или отдельные странички с них.. и лечатся такие коллизии именно применением правила "разрешения ДО запретов"..  

    Абсолютно соответствует:

    Цитата:
    Gaborik
    То есть в общем случае выше должны стоять правила для работы с меньшим подмножеством адресов.

    И для моего случая  

    Цитата:
    Gaborik
    доступ разрешён на национальный сегмент Интернет, и в нём уже надо вылавливать рекламу и что ещё начальству покажется лишним

    невозможно выполнить твоё требование о размещении сначала белых, а затем чёрных списков.

    Всего записей: 24 | Зарегистр. 29-09-2004 | Отправлено: 15:58 31-01-2016 | Исправлено: Gaborik, 16:04 31-01-2016
    TheBarmaley TMP



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Gaborik
    Цитата:
    в общем случае выше должны стоять правила для работы с меньшим подмножеством адресов
    в целом верно, но при этом не надо забывать - любые ч/б списки = опция, вот в чём дело..
    и само это подмножество - понятие растяжимое, можно ведь и не резать ничего по чс, а просто ограничить белым.. =)
    но тогда, по сути, концевая заглушка deny * при этом станет глобальным ограничителем всего подряд..
    т.е., опять таки, и в этом случае все разрешения будут стоять ДО запретов..  
     
    ну.. как вариант - надо дать любому ничем не ограниченный доступ на 1 сайт, а на остальные - по авторизации:
    Код:
    auth iponly
    allow * * * forum.ru-board.com *
    allow * 192.168.1.2 *
    deny *
    proxy
    чс, как таковой, в этой конструкции отсутствует ваще, а реклама и прочее для всех НЕавторизованных - срежется.. )
    т.е. белый список есть, чёрного - нет, и, ессно, в этом случае весь "мусор" будет только у авторизованного юзера..
     
    т.ч. само отсутствие опциональных правил не является нарушением принципа "запреты ПОСЛЕ разрешений"..
    я ж не зря сказал, шо частные случаи только подтверждают общие правила.. )

    Цитата:
    И для моего случая ... невозможно выполнить твоё требование о размещении сначала белых, а затем чёрных списков
    может, суть в том, шо у тебя просто нет белого списка как такового, не? и снова отсутствие части не отменяет правило.. =)
    т.е. аллоу, стоящие в авторизации никак НЕ относятся к предстоящим запретам в ч/с (одинаковым для всех)..
    кстати, не совсем понятен сам термин - "нац.сегмент" - это как? *.ру штоле??  

    ----------
    один из.. шоб было понятно.. =)

    Всего записей: 4230 | Зарегистр. 10-11-2015 | Отправлено: 17:12 31-01-2016 | Исправлено: TheBarmaley TMP, 17:15 31-01-2016
    Falcon99



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Кстати, а что-нибудь пробовал прикручивать http://rejik.ru/?

    Всего записей: 607 | Зарегистр. 12-10-2005 | Отправлено: 10:01 01-02-2016
    TheBarmaley TMP



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Falcon99
    Цитата:
    а что-нибудь пробовал прикручивать
    смысл городить, если в самом сабже есть возможность редиректа куда угодно?
    к примеру, пересылать на страницу локального/корпоративного сайта или тупо на 127.0.0.1.. =)
    я про nsrecord говорю, ежли чо..
     
    с другой стороны - а чем не канает стандартная заглушка "403"?
    подсказка - текст любой мессаги можно поправить ручками в bin\rus-*.3ps.. )

    ----------
    один из.. шоб было понятно.. =)

    Всего записей: 4230 | Зарегистр. 10-11-2015 | Отправлено: 12:41 01-02-2016 | Исправлено: TheBarmaley TMP, 12:45 01-02-2016
    Falcon99



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Просто насколько понял из быстрого просмотра, там уже готовая база на подобии "черного листа".

    Всего записей: 607 | Зарегистр. 12-10-2005 | Отправлено: 16:27 01-02-2016
    TheBarmaley TMP



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Falcon99
    Цитата:
    там уже готовая база на подобии "черного листа".
    жаль, сдохла ссылочка отсюда, дам её же из веб-архива - почитай там про недостатки фильтрации по ч/с.. =)
    я к тому, шо резать по ч/с практически не имеет смысла - "мусор" размножается быстрее..
     
    имхо - на самом прокси нужна общая идеология ограничений + общие фильтры, а "мусор" пусть режется уже у клиентов..
    всё-рно ведь у них стоят (по уму) всякие антивири со своим обновлениями/спаморезками и пр..

    ----------
    один из.. шоб было понятно.. =)

    Всего записей: 4230 | Зарегистр. 10-11-2015 | Отправлено: 13:50 02-02-2016
    Falcon99



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Понял. Почитаем...

    Всего записей: 607 | Зарегистр. 12-10-2005 | Отправлено: 13:53 02-02-2016 | Исправлено: Falcon99, 14:22 02-02-2016
    Falcon99



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Кстати, а есть возможность писать сразу два лог файла, а то хотел для разных анализаторов попробовать, а никак не получается.

    Всего записей: 607 | Зарегистр. 12-10-2005 | Отправлено: 09:03 03-02-2016
    TheBarmaley TMP



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Falcon99
    Цитата:
    писать сразу два лог файла
    а зачем, проще писать полноформатно, потом парсить в нужный вид перед анализом..
    либо во время пробного тест-драйва запускать две/три/х прокси, каждую из которых сделать парентом предыдущей.. =)
    форматы логов, соответссно, у каждого звена такой "гирлянды" могут быть свои..

    ----------
    один из.. шоб было понятно.. =)

    Всего записей: 4230 | Зарегистр. 10-11-2015 | Отправлено: 14:36 03-02-2016
    Falcon99



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Про последний вариант не догадался. А чем можно парсить в другой формат?

    Всего записей: 607 | Зарегистр. 12-10-2005 | Отправлено: 17:11 03-02-2016
    TheBarmaley TMP



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Falcon99
    Цитата:
    Про последний вариант не догадался.
    в твоём тестовом случае, как думается, придётся сделать на первой авторизацию по ип, а на паренте - уже по логин/пассу..
    т.е. шоб первая пропускала просто сквозняком, а вторая уже авторизовала..
    попробуй, вопчем, расскажешь чо/как вышло..

    Цитата:
    чем можно парсить в другой формат?
    исходя из того, шо каждая строка = регулярка, можно батничек написать..
    как именно - не подскажу, сам не пробовал, просто знаю, шо можно.. если чо - в теме поспрошай..
    либо грузить в ехсел с разделителем-пробелом, там убить ненужные столбцы, потом выгрузить обратно в текст..
     
    в любом случае - для тестов лучше сделать логирование не посуточное, а больше (скажем, неделя)..
    шоб парсить не кучу мелких файлов, а сразу один обший..
     
    и встречный вопрос - чем анализировать собрался? вр-спай - понятно, а ещё чем?
    как-то попадался ехселовский макрос для подобной задачки, но вот более конкретно щас не вспомню, давно было..

    ----------
    один из.. шоб было понятно.. =)

    Всего записей: 4230 | Зарегистр. 10-11-2015 | Отправлено: 07:15 04-02-2016 | Исправлено: TheBarmaley TMP, 07:18 04-02-2016
    Falcon99



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Хочу попробовать анализаторы squid'a, короче поиграться, что удобнее будет показывать.  
    Правда тут столкнулся с тем что придется через 3proxy и SMTP настраивать, теперь не знаю как на статистике это скажется. С другой стороны это исходящий траффик, и поэтому на его учет можно наплевать.
     
    Добавлено:
    Сделал SMTP таким образом:

    Код:
    #SMTP маппинг
    flush
    auth none
    allow *
    deny *
    tcppm -i192.168.19.150 1125 smtp.donpac.ru 25

    Жаль нельзя делать логирование по отдельным портам, а то теперь при анализе логов строчки с маппингом мешают и добавляют в WinRoute Spy нового "пользователя". Да и отслеживать теперь проблемно будет, кто отослал почту.  И еще заметил что в таком варианте отправки почты, на "снюхивание" с почтовым сервером провайдера уходит гораздо больше времени, это нормально?
     
    P.s. Вопрос еще один по WinRoute Spy возник, для того чтобы знать куда лазил пользователь в прошлом месяце, необходимо делать помесячные отчеты и куда-то их складывать? А то программа их перезатирает и по умолчанию делает отчеты только за текущий месяц.

    Всего записей: 607 | Зарегистр. 12-10-2005 | Отправлено: 08:58 04-02-2016 | Исправлено: Falcon99, 11:36 04-02-2016
    TheBarmaley TMP



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Falcon99
    Цитата:
    Хочу попробовать анализаторы squid'a
    ясно, пасиб..
    лично я бы сделал так - недельку покатал бы с одним форматом, недельку с другим и потом выбрал бы..
    сопссно, никто ведь не торопит, пробовать "раскраски" при уже работающем сервисе можно долго..  

    Цитата:
    придется через 3proxy и SMTP настраивать, теперь не знаю как на статистике это скажется
    если в конфиге для смтп после allow не указать nolog - будет считать так же, как и весь остальной трафик..
    а можно задать и отдельную безлимитку по этому портмапу, ведь при отправке всё-рно генерится входящий трафик (ок.10%)..

    Цитата:
    Жаль нельзя делать логирование по отдельным портам
    теоретически - можно, если использовать отдельную тулзу (smtpp.exe)..
    либо в самом 3прокси задать отдельный счётчик по этому порту..

    Цитата:
    заметил что в таком варианте отправки почты, на "снюхивание" с почтовым сервером провайдера уходит гораздо больше времени, это нормально?
    хз, я наоборот делал такие портмапы для ускорения работы с клиентом..  
    и оно реально быстрее, чем через веб-морду.. впрочем, может зависеть и от конкретных клиентов и их настроек..
    потому как если портмапа на входной протокол нет, а в клиенте они связаны, то тормоза точно будут..
    если же интересует только отправка - на клиенте в качестве поп3/имап сервера указывается 127.0.0.1..  
     
    во всяком случае, я обычно ставлю портмапы на все три протокола имап/поп3/смтр по отдельным внешним почтовикам..
    в качестве клиента в этом случае юзается штатный виндовый аутлук экспресс, всё шуршит достаточно быстро..
     


    ----------
    один из.. шоб было понятно.. =)

    Всего записей: 4230 | Зарегистр. 10-11-2015 | Отправлено: 12:08 04-02-2016
    Falcon99



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Кстати на форуме WinRoute Spy наткнулся на обновлении версии 1.66 до 1.67 http://www.wrspy.ru/download/WrSpy167b.rar - в разделе формирование отчетов добавлен чекбокс "Трафик в Мб и Кб".
     

    Цитата:
    и оно реально быстрее, чем через веб-морду.. впрочем, может зависеть и от конкретных клиентов и их настроек..
    потому как если портмапа на входной протокол нет, а в клиенте они связаны, то тормоза точно будут..  

    Не, входящий идет через почтовый сервер hMailServer, просто отправка через него не получается, поэтому приходится извращаться четез маппинг.
     

    Цитата:
    если в конфиге для смтп после allow не указать nolog - будет считать так же, как и весь остальной трафик..  

    Если можно, то поподробнее, если поставить так

    Код:
    #SMTP маппинг
    flush
    auth none
    allow *
    nolog
    deny *
    tcppm -i192.168.19.150 1125 smtp.donpac.ru 25  

    то маппинг в лог не попадет?

    Всего записей: 607 | Зарегистр. 12-10-2005 | Отправлено: 12:40 04-02-2016
    TheBarmaley TMP



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Falcon99
    Цитата:
    то маппинг в лог не попадет?
    да, всё правильно понял.. аналогично работает и для любых других аллоу..
    если, к примеру, не хочется светить чью-то "историю жЫзни".. =)
    однако подсчёт трафика при этом остаётся, если надо убрать - ставим для портмапа пару nocountin/nocountout..

    ----------
    один из.. шоб было понятно.. =)

    Всего записей: 4230 | Зарегистр. 10-11-2015 | Отправлено: 13:02 04-02-2016
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73

    Компьютерный форум Ru.Board » Компьютеры » Программы » 3proxy


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru