找到禁用 CCPROXY 二级代理的方法
本帖最后由 jibaowang 于 2009-2-6 14:37 编辑公司员工越来越多,面积越来越大。为了防止员工上班时间上网影响工作,领导要求上班时间普通员工不允许访问外网,但每所保留一台公共上网机以供和外界联系。我于是在路由器里奔波起来:绑定MAC地址、加防火墙策略、做流量分配、做时间限制。等一切做完这些,效果确实很好,可不到一个月就发现有些员工上班时间也能上网。原来人员工在每所仅有的一台公共上网机上安装CCPROXY代理软件,然后客户机通过这个公共上网机代理上网。
到底用什么方法禁止代理上网呢?用行政手段、对公共上网机进行权限限制还是在路由器里进行限制呢?最好的办法当然是在路由器里限制。
下面是**作的经过:
1、使用路由器的Packet Sniffer截取客户机直接通过路由器正常上网时的数据包,然后截取“客户机通过CCPROXY代理上网时的”代理服务器的数据包。
2、对比上面两次截取的数据包,特别注意代理服务器的数据包,看看它有什么特殊的地方。在此步,我们发现代理服务器数据包中有"Proxy-Connection: Keep-Alive"字符串,而正常机器上网时没有此字符串。
3、在路由器中丢弃掉所有带具有"Proxy-Connection: Keep-Alive"字符串的数据包,如此代理服务器将失效。
在此以routeros软路由为例进行设置:
进入ip firewall filter>目录执行"chain=forward content=Proxy-Connection: Keep-Alive action=drop"命令即可。 相信进来的都要需要这个贴子的,如果你感觉有价值请顶起来。 思路不错 chain=forward content=Proxy-Connection: Keep-Alive action=drop
注意大小写,注意空格。Keep-Alive前面有空格! 這方式不錯用~~ 5# b128777
这方式不仅仅是不错,是现在已知的最好的方法了。 没有封connect方式和sock5方式吧? 学习了,LZ真细心 这样设置后,我就看不到这个网页了,楼主怎么解决的。 或者用L7试试
~~~ 哈哈,太绝了,不得不服啊 楼主真细心啊。 学习了 谢谢啊 9# yunhao
你说的对,当你加过这条规则后,此贴你也无法查看了,因为此贴中有这个字符串。你可以在此规则之上再那建一条规则,把自己的机器排除限制就可以了。
我当时还想到这个问题呢,因为我的机器一直就是排除所有限制的。 楼主你牛的!!!!