Proxy na ten34 a problemy s autentizaci

[Dalibor Toman]

>
>POZOR :
>Pro ctenare znechucene pred nekolika mesici podobnym subjektem
predesilam,
>ze mi vubec nejde o pocitani pristupu ci legalitu vice kopii
>copyrightovaneho materialu ale o prakticky problem.:
>
>
>Vazeni experti,
>narazil jsem dnes na jeden s problemu s proxy na ten34, ktery jeste
nebyl
>nikdy zde ani na Lupe (viz diskuse v kvetnu) zminen.
>Nevim v jakem rezimu bezela ta proxy behem zkusebniho provozu, ale ted
asi
>pred 1-2 tydny ji zjevne pustili znovu v jine konfiguraci.
>Nam se to projevilo takto:
>
>Nektere astronomicke casopisy dostupne on-line se predplaceji u
>prislusneho vydavatele a ten poskytuje tzv site-license, ktere
neuzivaji
>jmeno a heslo (astronomove jsou velmi sdilni a jiste by to kolegum
rekli),
>ale omezeni pristupu na stroje z dane site - podle skupiny IP adress
>stroju, kteri se mohou na dane clanky divat.
>Vse chodilo az do konce srpna, kdy se pojednou nebylo mozno pripojit a
>server odpovedel, ze nejsme autentizovani - jelikoz bylo mnoho jinych
>problemu neresil jsem jej, ale dnes jsem nutne potreboval nejake
>nedostupne clanky a zjistil, ze server si mysli, ze nase IP adresa je
>195.178.64.180, coz je nase mila proxy cache (nslookup rika
>Name:    c-engine3.ten34.ces.net
>Address:  195.178.64.180.
>
>
>Otazka je ted, co s tim. Mam proto nasledujici otazky?
>
>Kdy byla tato proxy pustena ted okolo 5.9 ? (predtim to slo)
>Pokud bezela uz od kvetna, co se na ni zmenilo, ze ukryva IP adresu a
>predtim to nedelala ?
>
>Da se nejak ovlivnit na klientovi aby s konkretnim serverem se bavil on
>sam ?
>
>Jak vubec muze takova autentizace fungovat u ftp (konkretne wuftp)
>Nebo se ftp necachuje ?
>
>omlouvam se za neznalost protokolu ale predpokladam, ze u http
protokolu
>se proste vypise adresa klienta, ktrey otevrel spojeni, takze to ktery
>klient to cte, vi asi jen cache. Dalo by se ji tedy nejak donutit, aby
>nahradila svoji IP v odesilajici hlavice IP klienta, pro ktereho to
taha?
>a taky naopak dokumenty s daneho jmenovaneho serveru sice cachovat ale
>server kontaktovat vzdy ?

ZADNE IP klienta v hlavicce, ktera putuje na server standardne neni :-(

IP adresa druheho konce spojeni se neurcuje z zadne hlavicky, ale primo
z navazaneho TCP/IP spojeni.
Takze pokud bude v ceste proxy, vzdy cilovy server detekuje IP proxy
serveru (ta ma vzdy navazano spojeni jednak s klientem a druhe spojeni
se serverem - takze klient se serverem nejsou primo propojeni)

Pokud jde o HTTP protokol, je definovana hlavicka Via, do ktere by proxy
mela (ale nektere to nedelaji) priisovat IP adresy PC, ze kterych prisel
pozadavek na nacteni strany. Pokud vsechny proxy v retezu tuto hlavicku
doplnuji, lze zjistit adresu puvodce requestu.

>
>Vim, ze je asi mozne udelat naprave na strane serveru
 jedine pokud funguje v cache engine hlavicka Via

>ale nez zacneme
>nutit takove mamuty jako Spriger Verlag a pod k tomu aby zmenili jinak
>fungujici system pro tisice instituci na celem svete kvuli nekolika
>desitkam vedcu v jiste male zemi, kteri maji neschopneho
providera(ktery
>zacal experimentovat a neumi poskytovat to co ma), radsi budu
>predpokladat, ze to jde a provider to umi a udela (protoze mu to
nedoslo)
>a nebo ze je to holt novy technicky fenomen a mili mamuti vydavatele
budou
>muset vymyslet jine reseni aby byl o jejich casopisy zajem (Ve svem
helpu
>pisou, ze jej jim jasne, ze proxy cache jsou problem a ze tedy si je
bude
>muset uzivatel vypnout

ovsem transparentni cache si vypnout nemuzete. Leda donutit nekoho aby
zaradil dany WWW server na seznam adres, ktere jsou pristupne primo bez
pruchodu proxy serverem,

Zdravi
D. Toman