Q: Почему неичего не работает?
A: Потому, что для работы нужен правильный файл конфигурации.Q: Почему не работают ограничения доступа (перенаправления, ограничения по скорости, трафику и т.д.)
A: обычные ошибки - использование auth none (для работы любых функций основанных на ACL требуется auth iponly, nbname или strong), нарушение порядка ввода команд (команды выполняются последовательно, запуск сервиса proxy, socks, tcppm и т.д. должен осуществляться после того, как указана его конфигурация), неправильный порядок записей в ACL (записи просматриваются последовательно до первой удовлетворяющей критериям). Если в ACL имеется хотя бы одна запись, то считается, что последняя запись в ACL это неявная deny *.Q: Почему не работает ведение журналов в ODBC?
A: Убедитесь, что выполняется правильный SQL запрос. Наиболее распространенная проблема связана с отсутствием кавычек или неправильным форматом данных. Самый простой способ - сделать ведение журнала в файл или на стандартный вывод, просмотреть выдаваемые SQL запросы и попробовать дать такой запрос вручную.Q: Почему 3proxy не запускается как служба?
A: Наиболее вероятные причины - отсутствие команды service в конфигурации или использование относительных (неполных) путей файлов в файле конфигурации. При использовании файлов журналов, файлов вставок ($filename) используйте полные пути, например $"c:\3proxy\include files\networks.local". Для отладки лучше запускать 3proxy с ведением журнала на стандартный вывод. Не забудьте в таком случае отключить daemon и service в файле конфигурации. Для чистоты эксперимента запускать 3proxy из коммандной строки в таком случае следут находясь в другой папке.Q: Для чего это надо?
A: Чтобы иметь в логах URL запросов если пользователь SOCKS пользуется Web, FTP или POP3Q: Какие недостатки?
A: Перенапраление невозможно для web-серверов или FTP висящих на нестандартных портах, для SOCKSv4 не поддрживается авторизация с паролем (IE поддерживает только SOCKSv4), но при этом IE передает имя пользователя по SOCKSv4 (имя с которым пользователь вошел в систему). Для SOCKSv5 не поддерживается NTLM авторизация, пароли передаются в открытом тексте.Q: Какие преимущества?
A: Достаточно в настройках IE только указать адрес SOCKS прокси. В больших сетях можно для этого использовать WPAD (автоматическое обнаружение прокси). В 3proxy достаточно запускать только одну службу (socks). Если используется только Internet Explorer, то можно автоматически получать имя пользователя в логах не запрашивая логин/пароль.Q: Как настраивается?
A: Указывается parent http proxy со специальным адресом 0.0.0.0 и портом 0. Пример:allow * * * 80,8080-8088 parent 1000 http 0.0.0.0 0 allow * * * 80,8080-8088 #перенаправить соединения по портам 80 и 8080-8088 в локальный #http прокси. Вторая команда allow необходима, т.к. контроль доступа #осуществляется 2 раза - на уровне socks и на уровне HTTP прокси allow * * * 21,2121 parent 1000 ftp 0.0.0.0 0 allow * * * 21,2121 #перенаправить соединения по портам 21 и 2121 в локальный #ftp прокси allow * #пустить все соединения напрямую socks
Q: как взаимодействует с другими правилами в ACL?
A: После внутреннего перенаправления правила рассматриваются еще раз, за исключением самого правила с перенаправлением (т.е. обработка правил не прекращается). Это позволяет сделать дальнейшие перенаправления на внешний прокси. По этой же причине локальное перенаправление не должно быть последним правилом (т.е. должно быть еще хотя бы правило allow чтобы разрешить внешние соединения через HTTP прокси). Напримерallow * * * 80,8080-8088 parent 1000 http 0.0.0.0 0 #перенаправить во внутренний прокси allow * * $c:\3proxy\local.nets 80,8080-8088 #разрешить прямой web-доступ к сетям из local.nets allow * * * 80,8080-8088 parent 1000 http proxy.sandy.ru 3128 #все остальные веб-запросы перенаправить на внешний прокси-сервер allow * #разрешить socks-запросы по другим портам
СМ> Существует ли сейчас поддержка FTP прокси в продукте.
Есть поддержка как FTP через HTTP (то что называется FTP прокси в Internet Explorer, Netscape, Opera) так и настоящего FTP прокси (то что называется FTP proxy в FAR и FTP клиентах).СМ> Каким образом можно прибиндить сервисы на свой порт, к примеру HTTP прокси к 8080 а не 3128 как по умолчанию.
proxy -p8080СМ> Может плохо смотрел, но не увидел параметров отвечающих за ограничение ширины канала.
Читайте HowTo http://www.security.nnov.ru/soft/3proxy/howtor.asp#BANDLIMПочему такая кривая конфигурация, и ничерта не понятно?
Есть несколько причин. Во-первых до выхода релиза (т.е. версии 1.0) я буду изо всех сил добиваться совместимости конфигурации между версиями. Во-вторых конфигурация сделана так, чтобы ее можно было легко разбирать программно. В-третьих все там понятно. При желании. Если знать как все работает.Почему так криво написан код, и ничерта не понятно?
Есть несколько причин. Во-первых я не программист. Во-вторых 3proxy изначально писался на коленке (в отет на "слабо" в одной из конференций). Никто не мог предположить что им кто-то реально будет пользоваться. В-третьих у многих возникает желание разобраться в коде 3proxy чтобы внедрить его в какой-нибудь троян. Очень не хочется облегчать эту задачу. В-четвертых мне надо добиться компиляции кода в как можно большем числе систем. Замечено, что чем кривее код в C, тем он лучше переносится.
Почему так много strcpy, sprintf и т.д., это ж дыры, ничерта не понятно?
Есть несколько причин. Во-первых, несмотря на дурной тон использования этих функций, они наиболее совместимы между разными системами и компиляторами. Во-вторых само по себе их использование не означает присутствие дыры, если их параметры должным образом контролируются. Найдете дыру - обязательно сообщите. В третьих - может быть я уберу их перед конечным релизом чтобы никого не пугать.
$Id: faqr.html,v 1.5 2004/12/21 10:22:34 vlad Exp $