[linux] Re: Ako zabranit zahlteniu DSL routra

[Matus UHLAR - fantomas]

> On Mon, Jan 17, 2005 at 05:20:50PM +0100, Matus UHLAR - fantomas wrote:
> > Proxy server musi kontrolovat hlavicky ako napriklad Accept-Encoding a
> > vyhadzovat z nich nezname veci...

On 17.01 19:05, Peter Surda wrote:
> Ano, to mas pravdu, to moze byt problem, ale pokial to robi korektne a
> napriek tomu je nieco zle, tak je chyba na strane clienta alebo servra
> :-)

ale to je PRAVE to, co sa obcas udeje... :-)
Takto vznikol problem, ktory som tu spominal (kombinacia M$IE, transparent
proxy, hotmail)

> > Myslis tym, ze gateway forwarduje vsetky WWW spojenia na stroj:port, kde
> > pocuva proxy server nakonfigurovany ako transparentny? Ano, to je
> > standardny sposob ako sa to cele robi. 

> Da sa to spravit 2mi sposobmi. Cez NAT alebo redirect. Ja som myslel ten
> redirect. Ked to spravis cez NAT, tak proxy nebude vediet, ze ma fungovat ako
> transparentny, co moze v istych pripadoch sposobit problemy.

coby nie. len to proxy serveru musis povedat. Btw povedal by som ze ide o
prave ten typ problemov o ktorych tu cely cas hovorim :)

> Ten hore popisane redirect totiz funguje tak, ze default gateway posle
> pri paketoch ktore maju podla policy ist na proxy, clientovi ICMP
> redirect, a ten client ten paket posle znova, ale ma tam destination MAC
> adresu proxy servra a nie gatewayu (teda ako keby proxy bol router).

si mal rovno napisat ze hovoris o ICMP redirecte... v tom pripade mi je to
jasne a nemusim ani tcpdumpovat. :-)

Ale takyto redirect ma iny hacik: pokial stroj s transparentnym proxacom
nedokaze routovat, znefunkcnis vsetku ostatnu komunikaciu s danym strojom.
ICMP redirect totiz na proxy nasmeruje VSETKU komunikaciu pre dany stroj.

ako vidim nizsie, toto si vyriesil...

> > http->https redirect posiela iba server klientovi a ide o specialne
> > formatovanu HTTP odpoved.

> Ano, ale potom pochopitelne client posle novy request s novym obsahom. A
> bohuzial MSIE v niektorych takychto pripadoch novo formatovany request
> neposle na default gateway, ale na proxy. Ked to je napriklad iny port
> (443) a proxy sa s nim nevie vysporiadat (i.e. nema v chaine FORWARD ten
> Port povoleny), mas problem.
> 
> Ja to riesim tak, ze spravim na proxy opacny redirect (vsetko co nie je port
> 80 je cez ip route presmerovane zase na default gateway). Potom sa aj MSIE
> spamata a posle to spravne.
[...]
> Inac to, ze MSIE sa sprava na takej nizkej urovni vlastnym sposobom, nieco
> vypoveda o programovani v Microsofte. O to sa ma starat sietova vrstva v
> kerneli a nie browser.

jednoznacne. Ale vzhladom na niekolko vyssie (a predtym) uverejnenych
problemov povazujem za lepsie vzdy explicitne konfigurovat browsery aby
proxy pouzivali, a transparentny proxying pouzivat len ked to inac nejde
(napriklad dolezita aplikacia neschopna pouzivat proxy).

Nakoniec, ked napr. zakazes port 80 (a ine) pre klientov, lahko sa naucia
ich nevypinat...

Akurat tu mame dalsi hacik: prave dnes som sa docital ze windows update
verzie 5 chodi na M$ priamo... :)

-- 
Matus UHLAR - fantomas, uhlar na fantomas.sk ; http://www.fantomas.sk/
Warning: I wish NOT to receive e-mail advertising to this address.
Varovanie: na tuto adresu chcem NEDOSTAVAT akukolvek reklamnu postu.
You have the right to remain silent. Anything you say will be misquoted,
then used against you.