to post messages and comments.

Среди клиентов заказчика (обход геоблокировок) попадаются такие, у которых провайдер мудрит. Бывает, заворачивает все запросы к любым DNS на свой и отвечает от чужого имени. Бывает, блокирует сторонние DNS. Так или иначе, обычная схема с изменённым DNS не работает. Начал делать с proxy.pac. В нём очень плохо, что всё на виду. Тестируют люди все проксируемые каналы на Amazon Fire Stick, на Smart TV, на Chromecast, и каждый раз домены новые всплывают. И сам список найденных доменов, которые нужно проксировать, начинает представлять коммерческую ценность. Поэтому, когда клиенты шарят лучом в темноте DNS, это одно дело, а когда они могут открыть proxy.pac и увидеть там полный список, всё, над чем работали тестеры несколько месяцев на самом разном оборудовании, и просто слить, так можно и конкурентам ненароком сильно помочь.

Было у заказчика желание и до абонентов злых провайдеров добраться, и домены не светить. А у меня давно идейка была в связи с помешательством на блокировках. Я прочитал, что proxy.pac может резолвить айпишки (isResolvable + dnsResolve), и пришла мне в голову мысль, что так ведь можно в DNS хранить команды, а в proxy.pac — читать их и интерпретировать. О том, может ли такое вообще работать, представления были туманные, а тут выдался шанс подтвердить гипотезу. Отзеркалил таблицу перенаправлений DNS в зону поддомена и заставил proxy.pac дописывать к хостам суффикс (этот поддомен) и пытаться резолвить то, что получилось, и в зависимости от этого ходить напрямую или через прокси. В общем и целом получилось так же, как и через SmartDNS, каждый шарит лучом в темноте и видит только нужный ему фрагмент, не видя всей полноты. Отличие — в том, что между клиентом и нашим сервером ещё появились DNS провайдера, а так работает очень похоже.

Небольшое объявление о моих услугах. Я умею делать хитрые прокси. Очень разной степени хитрости.

Один мой клиент раньше делал запросы к чужим сайтам с айпишки пользователя средствами Java, но ему не нравилось, как оно у людей тормозило. Я ему на Ada Web Server сделал JSONP-прокси на локалхосте, залоченный на его сайт, с установщиком для Windows, и чтоб сворачивалось в значок. Он через этот прокси получал валидный для айпишки посетителя прямой URL файлов на всяких OpenLoad и показывал их на своём сайте в HTML5 плеере.

Другой мой клиент промышляет тем, что хостит SmartDNS+прокси для обхода геоблокировок британских ТВ-сервисов. В собственно прокси тут особо много интеллекта не нужно, sniproxy справляется, но нужно отсекать халявщиков и как можно меньше раздражать плательщиков. Соответственно, если обнаруживается на первый взгляд левый запрос, его нужно кинуть в личный кабинет, а если там по кукисам вдруг резко стало понятно, что он свой, просто ему провайдер IP поменял, то нужно оперативно обновить IP и бросить обратно. Тут я на netfilter+ipset сделал такую систему, которая хороших бросает на sniproxy, а плохих — на веб-сервер, который отпинывает в личный кабинет, ну а попутно принимает запросы на синхронизацию из этого кабинета. При синхронизации нужно добавить и/или убрать IP из ipset, а чтоб пользователь не ждал две минуты, удалить объект conntrack. Это две разных сишных библиотеки. И личный кабинет написать надо было, чтоб запросы и на сервер, и в базу корректные делал. Получилось хорошо. У кого IP меняется, действительно оперативно туда-сюда бросает.

* Проксирование клиентских IP за nginx *

nginx location:
...
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
...

yesod config/settings.yml:

ip-from-header: "_env:IP_FROM_HEADER:true"

Чтобы не терялось.

Коллеги, вопрос есть. Вот существует в природе крайне удобный и полезный плагин для Chrome, который называется Proxy SwitchySharp (в частности, он позволяет использовать прокси по URL pattern или regexp).
И у этого плагина есть замечательная фича, называемая Online Rule List — когда список паттернов подтягивается с сервера с указанной периодичностью.
Вопрос очевиден — а не запилил ли кто этот самый rule list в синтаксисе этого плагина на базе списков Роскомнадзора? Чтобы всё автоматически работало.

Жуйк, у меня уже не первый день беда — на работе интернет доступен через прокси, который, как мне кажется, настраивал мудак. Открыты порты 80, 22, 21, 25. Я не очень понимаю почему, но я не могу, сидя за этим прокси, подключиться домой ни по ssh, ни по rdp. Разумеется, и то и другое висит на портах, не входящих в список выше, на роутере порты проброшены, с 3g-интернета все работает.

Интересуют способы, как заставить работать rdp подключение. Дома оно на 3389.

Заранее спасибо за помощь :3

Жуйц, расскажи мне, могу ли я использовать прокси через прокси?
Т.е. интернет доступен через некий локальный прокси, могу ли я послать трафик по такой схеме: комп->локальный прокси->прокси в интернете->целевой сайт ? И как это сделать, при условии, что у меня не доступа к локальному прокси?

А есть ли такой прокси, что ставится на винду с последующей интеграцией в AD? Почему не linux в качестве проксюшника? В лесу много доменов и самба, оказывается, умеет только с одним доменом в лесу работать.

Котаны, на чем лучше поднять personal proxy на фряхе? Нужна аутентификация по логину и паролю, возможность выборочного доступа для каждого логина и шейпинг траффика. Что нить менее громоздкое чем сквид.

При настройке ziproxy решил не париться с паролем и тупо перевесить прокси на нестандартный порт. Помогло, угу. Вчера на любую команду мне отвечали fork cannot allocate memory и нихуя не работало. Пришлось из панели управления ребутнуть и быстро прибить ziproxy. Получилось со второго раза. Access.log весит два гига, сейчас буду смотреть что за пидоры. Интересно как они вообще нашли мою проксю.

есть работа, рабочая машина на windows, интернеты дают только через http-прокси. есть дом, белый ip, linux-сервер. хочу шифровать свои запросы в интернеты от глаз любобытных коллег. есть идеи? ssh-tunnel? но ssh не пройдет через http-proxy

*прокси *фильтр
Народ! Кто-нибудь сталкивался с таким?
/etc/dansguardian/languages# service dansguardian restart
Restarting DansGuardian: dansguardianerror reading: /etc/dansguardian/languages/russian_1251/fancydmtemplate.html
Download manager plugin init returned error value: -1
Error loading DM plugins
Error parsing the dansguardian.conf file or other DansGuardian configuration files
failed!
Что-то гугл не помог.
Если кто вообще знает о нём, то могу тогда выложить и конфиги

посоны, подкиньте http проксик вечноживущий, а? у меня не получается xfire гонять без прокси, (25999 порт захлопнутый), а всякие из "баз данных прокси", постоянно отваливаются и надо менять.

%$#ть, как в хроме настроить прокси, если я не пользуюсь gnome/kde и не хочу явно при запуске указывать какой проксик мне использовать?
Всякие расширения вроде Proxy Switchy! не работают.

И объясните, почему оно всё так через жопу делается?

Жуйк, есть подсеть 192.168.1. и 192.168.200. есть прокси сервер (usergate 2.8) на 192.168.200.1 (основной сервак моего подразделения). Хочу пользовать этот прокси из подсети 192.168.1.*, но usergate выплевывает ошибку 497 (работа по абонементу, хотя у меня на прокси учетка не абонементная ни разу) и ни в какую. Сам сервер 192.168.200.1 пинговался с адреса где я сидел (192.168.1.53). Что можно предпринять? По идее же маршруты не надо прописывать если сервант пингуется... Может кто знает куда копать?

Skype светится наружу как новогодняя ёлка. И даже если указать в настройках socks proxy, то, используя её, он всё равно будет пытаться лезть в обход. Заставить его соединяться только с указанным прокси сервером несложно. Добавить в групповые политики шаблон Skype-v1.7.adm и повыключать всё, что не нужно, задав прокси сервер уже там.

неведомый шайтан сервер, конфиги как не у людей, инфы по корректной настройке мало. мучался и плювался пока не понял что к чему, но все равно, некоторый синтаксис не может не "радовать", который сбивает с толку.

Решил проблему залоченного вконтакта хардкорно — засандалил антенну для вай-фай свистка usb и подцепился к свободной точке доступа. заодно пошарисял и нашёл пару длинковских т. доступа и теперь сижу и кайфую)

Как рождаются "открытые прокси"

А рождаются они когда люди переносят роутинг Интернета со своего основного сервера на отдельную коробочку, видящую основной сервер со стороны его "доверенного" интерфейса, настраивают там проброс портов:
HTTP TCP From any host in wan To any router IP at port 80 > Forward to IP 192.168.0.100, port 80 in lan

...но на основном сервере при этом забывают убрать настроенный для внутренних хостов TPROXY ( version6.ru ):
for IF in $IF_TRUSTED; do
iptables -t nat -I PREROUTING -i $IF -p tcp --dport 80 -j REDIRECT --to-port 3128
done

В результате все входящие запросы на http:// внешнийайпишник / идут не на публичный ligttpd как должны, а заворачиваются прямиком на Squid для внутреннего пользования. Сканеры открытых прокси тут же сей факт обнаруживают, публикуют айпишник и порт на страницах типа soft-addict.blogspot.com

И за два дня пока всё это не было замечено, получаем во-первых бан в гугле ("Our systems have detected unusual traffic from your computer network. This page checks to see if it's really you sending the requests, and not a robot."), во-вторых более гигабайта логов в /var/log/squid3/
-rw-r----- 1 proxy proxy 244M 2012-06-25 12:50 access.log
-rw-r----- 1 proxy proxy 700M 2012-06-25 06:25 access.log.1
-rw-r----- 1 proxy proxy 227M 2012-06-24 06:25 access.log.2

Сейчас уже всё убрал, вдоволь на себя пофейспалмив и поorz'овав. Пожалуй откажусь от HTTP вообще, как от небезопасного протокола :P, домашний сервер будет только с HTTPS.

Няши, кто-нибудь пробовал долбиться со связкой squid+dansguardian? что как — куда жать? или лучше чего-нибудь другого придумать? цель — контент фильтр, необходимо накрыть медным тазом социалочки и онлайн-видосики.

Установка прокси-сервера позволяет ускорить доступ в Интернет благодаря раздаче из кэша часто запрашиваемых ресурсов, а также настроить блокировку рекламы в одном месте, сразу для всех пользователей локальной сети. Прозрачный HTTP-прокси называется так потому, что все клиенты, обращающиеся к внешним веб-серверам из внутренней сети, проходят через него автоматически, не внося никаких изменений в настройки на своей стороне. Давайте рассмотрим, как обеспечить эту весьма удобную прозрачность одновременно по IPv4 и по IPv6. — version6.ru

что то держать один прокси сервер(squid+sams) как то становится рискованно.
надо его как то резервировать.
можно конечно поставить параллельно еще один прокси. будет два прокси, администрироваться будут в сквиде. но. как дать винде понять, что если данный прокси недоступен, то нужно ломануться на резервный?
опять же, можно часть офиса перевести на второй squid и будут так ходить, но смысл? failover это не дает.
может все же я чтолибо не знаю про squid? может как то можно это сделать?
может быть есть еще какие нибудь прокси сервера поддерживающие ntlm? причем с поддержкой еще и socks5?

Короче слушайте посоны, только поймите меня правильно. Есть комп, инет у которого идет через проксик (сетевой интерфейс один), есть роутер, у которого инета нет совсем. Возможно ли заюзать комп в качестве шлюза для роутера, чтобы трафик на компе через проксик шел? обязателен еще один сетевой интерфейс, если роутер и комп подключены к одной локалке?

Я крут. Настроил опенвпн с фри сервисом впнов через проксю. Теперь могу юзать хчатики, квипики, игрушечки, жабрики и ваще все-все-все!
Правда у сервиса два минуса: каждые 8 часов дисконнект и каждый коннект требует активации вручную :\

function FindProxyForURL(url,host)
{
if (isInNet(host, "192.168.0.0", "255.255.0.0"))
return "DIRECT";
if (isInNet(host, "213.135.137.160", "255.255.255.240"))
return "DIRECT";
return "PROXY 192.168.100.30:3128; DIRECT";
}
Сие означает "какая сеть каким путем ходит" или нечто другое?