Спасибо, попробую tcpdump'ом. WPAD я отметаю потому что он вроде DHCPINFORM юзает, а этого в логах как раз навалом. Насчет еще одного DHCP сервера в сети, то маловероятно хотябы потому что если это и допустить, то такая канитель была бы вообще по всей сети. А тут 3 конкретных отдельностоящих компа и что интересно в 3х разных зданиях. Остальные 100 компов в порядке)
athacker: Я в этом деле новичок. В инете везде гайды по настройке прозрачной прокси и я повелся. Не знал что в непрозрачном режиме https спокойно блочится. Накалякал небольшой конфиг. Тестово поблочил вконтакты - все норм. Сделаю acl по айпишникам. На dhcp привяжу всех к макам. Ни разу конечно не делал, но думаю так можно.
Еще раз спасибо за ответы)
athacker:
Проверил еще раз. С натом все ок вроде(ipfw.rules выше). На серваке в resolv.conf и squid.conf 8.8.8.8. В клиентской убунте тоже. Как получается расхождение в результатах - не понимаю. Причем никакой ругани на подмену заголовков по 80му порту нет и не было. Только на 443.
Спасибо за ответ. Значит надо копать в сторону защиты от подмены заголовков.
Но я что-то не пойму почему сквид обнаруживает подмену? Ведь клиент ломится на вполне легальный IP? Или сквид как то неправильно(или вообще не) резолвит имя?
Написано
Войдите на сайт
Чтобы задать вопрос и получить на него квалифицированный ответ.
