Тут уже как то проплывало по вопросам ssl-тунелля, но хотелось бы поподробнее, и в разрезе конкретной ситуации.

Итак, речь о том, что я на работе сижу за файерволлом ( еще одна жертва ), причем файерволл не халям балям, а с фильтрацией пакетов, как я полагаю. Почему? Позже объясню.

имеется внутренняя сетка со статическими ип и с котроллером домена. На то стоит сервер номер раз.
Далее стоит прокси сервер- через него идет канал в интернет, но не напрямик а по стекловолокну в город фрайбург, где стоит основной файервол и после него связь с внешним миром.
На нашем прокси система не хитрая: открыт порт 80 на фрайбург. Допуск идет по ип адресам внутренней сети плюс юзер с паролем.

Во фрайбурге стоит уже вещь поконкретнее - цитрикс-сервер. Там и происходит окончательное кастрирование.

Так же, есть для немногих юзверей фтп напрямик через фрайбург - это еще один прокси через 21 порт. Юзеров очень мало, поэтому тут вообще сложно как то незаметно что то лить итд.

Теперь объясню, почему я думаю, что фильтрация пакетов.
Запускаю веб асю - она пытается искать порт - фигу. Ставлю ручками ей нужные порты - тоже подсоединиться не может. Может я ошибаюсь, но по-моему все дело именно в фильтрировании.

Я бы кино отсюда заливал со скоростью ветра, но если вот так в наглую - то отымеют моментально. Пока еще терпят то, что я целыми днями сижу на РДА. Тут то я логи подтереть могу еще, а вот во Фрайбурге никак не подберешься.

Есть ли реальный выход из положения? Был как то разговор о туннеле под ссл с заполнением пауз между пакетами шумами или что то в этом духе.

Кто в курсе, пожалуйста, поделитесь ноу хау

зараннее благодарен

Я знаю как это можно попробовать сделать, но только если у тебя есть какая-нибудь машина снаружи всех firewall-ов.
Или можно попробовать поискать на google по "web anonymizer tunnel proxy". Там были какие-то сервисы. Часть платные, часть сделанные на коленке бесплатные. Точно один даже был халявный и с SSL, но клиента надо было компилить самому или запускать Java applet у себя.

можно исползоват просто анонымоус прохы так что все в логах будет видно ето куча соединений к прокси. но тогда от не packet filtering избавиться..

а вообще почему ты решил что они просто не заблокировали порты для аськи?

hs спасибо, уже хоть какое- то начало
машину сообразим. Пожалуйста подетальнее.
По гуглю я порыскал, тоже полезная инфа и есть пара програмок- все будет тестироваться.

Процесс пошел- лед тронулся

QUOTE (lexxei @ Aug 13 2002, 20:27)

можно исползоват просто анонымоус прохы так что все в логах будет видно ето куча соединений к прокси. но тогда от не packet filtering избавиться.. а вообще почему ты решил что они просто не заблокировали порты для аськи?

порты заблокированы все кроме 80 и 21 наружу если что и открыто то только для vpn. невозможно даже net time наружу запустить.
я пытался icq anywhere запустить те версия которая идет через браузер. я ей давал порт 80 и давал ей самой искать порт как минимум 2 она должна была найти- поэтому я и предполагаю что пакеты фильтруются.

Если есть машина, то на ней ставится какой-нибудь прокси самый простой без кеширования и т.п. и делается криптованный туннель. Зависит от того что за машина, например можно ssh (сервер есть и для Unix и для Win), но есть и другие программки для этого. После чего ставишь в IE прокси на localhost:port , а этот port пробрасываешь через ssh туннель на свою машину, на прокси (через один из открытых на firewall портов, например 443 или 80 или 53). ICQ сделать труднее. Где-то я видел что netcat (nc) умеет UDP перекладывать в TCP - это можно использовать что бы и ICQ пробросить через туннель тоже.
Но я бы сначала все что дает google просмотрел и если нет простого готового решения, тогда стал бы городить огород с ssh/whatever

да, похоже что ты прав. вообще это не сложно осуществить с прокси. Хотя возможно что они просто забликировали сам сайт (login.icq.com). а SSL должен быть peer-to-peer или нет?

я так понимаю что да...

Бубль Если есть желание попробуй поиграть с HTTPort+HTTHost, я сам не пробовал, народ пишет разное, кто в восторге, у кого глючит, аська вроде работает. Сайт проги тут: http://www.htthost.com , довольно толковая ИМХО статья по принципам работы и конфигурации тут: http://www.nestor.minsk.by/sr/sr0104/sr10404.html

желание есть

всем спасибо за поступившую инфу- начинаем разбираться.

В дальнейшем возможно последуют еще вопросы. Когда настрою/отлажу и заработает постараюсь накатать доходчивый гайд по теме- вещь все таки очень полезная

Можешь просто найти proxy на 80-м порту (BTW, ты 8080 и 3128 проверял ?), который даст ходить на ftp (таких немного, но найти можно), и настроить ftp client на работу через него.

QUOTE (vass-iliskus @ Aug 15 2002, 08:22)

Можешь просто найти proxy на 80-м порту (BTW, ты 8080 и 3128 проверял ?), который даст ходить на ftp (таких немного, но найти можно), и настроить ftp client на работу через него.

окончательный прокси не важно на коаком порту будет. Проблема в другом. Что до выхода из вражьей сети уде стоят как минимум два прокси друг за другом

то есть мой ип-> proxy-server1->...->proxy-server2->internet

хотел проверить сколько промежуточных звеньев у меня до выхода -иду на неттулз смотрю себя - под каким ип я виден наружу. Пытаюсь трасертом проследить этот ип и одна падла прокся уже не хочет пропускать.
знаю адрес и порт(3128) куда коннектится 1й прокси, но он сука коннектится со своим паролем.

Попробовал прогу мультипрокси - она к серверам своим коннектиться не хочет - не пускает ее- в общем крепкий орешек попался- но я не сдаюсь пока