fk0, легенда (27.02.2018 00:46, просмотров: 101) ответил Evgeny_CD на [Прокси сервера и проксификаторы] Попытка собрать информацию по одному из методов защиты от стукачества.Вдогонку: проксирование отдельных протоколов (типа SMTP и IMAP) вообще гниловатая тема и поэтому end-to-end шифрование не такая уж и плохая идея. Т.е. обычный SSL/TLS во всех случаях. Ну равно как и "ведение журналов". Имеет смысл настройка в своей домашней/рабочей сети или даже просто прямо на одном компьютере следующих серверов:
1) Прозрачный http (web) прокси -- с помощью iptables и squid. Основной смысл, чтоб перенаправить незащищённый http-траффик через vpn, a защищённый пустить напрямую. Идея в том, что если проксировать весь траффик -- просто медленно и неудобно будет, а смысла в двойном шифровании шифрованных уже данных нет. Ну ещё можно порезать баннеры и сэкономить 5% траффика в месяц на кешировании.
2) Полноценный почтовый сервер, SMTP и IMAP. Идея в том, что не придётся конфигурировать миллион программ на тему как им отправить почту: они отправляют на известный единственный сервер, а дальше он сам. С приёмом почты понятно тоже, и хранить её где-то надо, на локальном компе не умная идея (сейчас у всех по три компа и два мобильника). Но это больше для сервера уровня конторы. На VPN выносить сам сервер не реально из-за большого объёма почты и бэкапов.
3) Просто в iptables запретить "плохие" протоколы (smtp, pop3, imap без шифрования), мол работа только через свой сервер, в котором запрет на соединение без TLS. Хотя у некоторых адресатов или отправителей неизбежно TLS не будет и непонятно как тут быть. Проще почтовый сервер (прокинуть только порты) вынести на VPN в юрисдикцию другого враждебного государства.
4) DNS-сервер -- обязательно, свой, не прокси провайдерского, а именно свой. Иначе ваш провайдер всё видит и может заменять по своему усмотрению. Разумней установить два сервера, один локально, один на VPN, они же может обслуживать и вашу зону, которая нужна для почты всё равно. Если прокси-ДНС сервер -- то только через VPN.
5) Прочие порты и протоколы (GRE, IPV6 и др.) запретить и разрешать только по мере надобности. Не панацея, потому, что особо умные умеют тунеллировать в обычный http, в https, в dns...
[ZX]