Proxy servery a IRC


Vzhladom na velke rozsirenie proxy serverov ktore maju neznalych administratorov a umoznuju pripojit sa na ne a pouzivat ich sluzby hocikomu, boli na IRC servery nainstalovane autorizacne moduly ktore u kazdeho klienta pripajajuceho sa na IRC server otestuje, ci sa pripaja cez takyto proxy server.

Kazdy klient ktory sa pripoji cez takyto proxy server je odmietnuty s hlasenim "Denied access" (vid problemy pri pripajani sa na IRC servery). K odstraneniu problemu je potrebne si nakonfigurovat proxy server tak, aby akceptoval len spojenia z vnutornej siete a nie zvonku.

Zaroven sa predlzi cas na pripojenie sa na servery spoza firewallov ktore maju zakazany pristup na dotycne porty s tym ze pakety dropnu a neposlu TCP RST ani ICMP port unreachable. To iste plati aj o FreeBSD serveroch so zapnutym kernel optionom net.inet.tcp.blackhole.

Urychlit pripajanie sa na IRC servery spoza takychto firewallov je mozne tak, ze firewally sa nakonfiguruju aby odmietali spojenia na dotycne porty a posielali naspat pakety TCP RST alebo ICMP PORT UNREACHABLE.

V sucasnosti sa irc pripaja na porty 113 (ident), 1080 (socks), 80, 3128, 4480, 6588 a 8080 (http proxy servery).


Chybne http servery

Dalsi, v poslednom case velmi rozsireny problem je problem pristupu z pocitacov s nainstalovanym serverom Apache a modulom PHP. Chybou v PHP sa moze stat ze server vyhodnoti pripajajuceho sa klienta ako otvoreny proxy server a odmietne mu pristup. Dovod je v tom ze WWW server chybne vyhodnoti testovaci retazec (ziadost proxy serveru o prepojenie) a odpovie kodom 200 (OK). Vysledkom je odmietnutie pristupu na IRC ako by ste boli pripojeny z otvoreneho http proxy servera.

Priklad chybneho spravania sa servera:

% telnet aa.bb.cc.dd 80
Trying aa.bb.cc.dd...
Connected to aa.bb.cc.dd.
Escape character is '^]'.
CONNECT nextra.irc.sk:6666 HTTP/1.0

HTTP/1.1 200 OK
Content-Type: text/html
Date: Wed, 18 Dec 2002 14:41:12 GMT
Expires: Wed, 18 Dec 2002 14:41:12 GMT
Pragma: no-cache
Cache-Control: no-cache
Connection: close

<H3>Invalid page</H3>
URI <tt>nextra.irc.sk:6666</tt> not found<br>
Click <A HREF="/">here</A> to return to main page.
Connection closed by foreign host.

Naprava: do konfiguracneho suboru apache treba zapisat nasledujuce:

<Limit CONNECT>
	Order deny,allow
	deny from all
</Limit>

Upozornenie: v pripade ze pouzivate apache ako http proxy server, treba pouzit zlozitejsi konfiguracy retazec. Toto je starost spravcu servera.

Existuje vazne podozrenie ze tuto vlastnost maju aj niektore ine http (proxy) servery.


Matus "fantomas" Uhlar
Hlavna stranka servera