Morph: Транспарент-прокси

5 сообщений / 0 new
Последнее сообщение
Гость
Morph: Транспарент-прокси

Вопрос чисто теоретический: допустим есть сервер на linux, на нем пользователи ходят в инет через маскарадинг, включение\выключение инета производится добавлением\удалением правил в iptables
iptables -A FORWARD -s 192.168.0.34 -j ACCEPT
iptables -D FORWARD -s 192.168.0.34 -j ACCEPT

Если добавить редирект на порт squid с 80-го правилом:
iptables -t nat -A PREROUTING -i eth0 -d ! 192.168.0.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128

То ведь выходит, что если вручную на клиентской машине указать прокси и порт 3128 - юзер сможет ходить в инет в обход FORWARD-цепочки? Так?

Какие есть пути пресечения этого? Закрыть порт 3128 для юзеров вообще? Или добавить правило на выключение DROP на порты 80 и 3128 с опред ip?
[ Редактирование ]

Morph (не проверено)

В смысле решит проблему? Просто добавить это правило, чтобы закрыть 3128? Или оперировать им(удалять\добавлять)?

Nick
Не в сети
Зарегистрирован: 20/09/2010

Создать свою цепочку, и доступ открывать/закрывать в ней. Добавить -j в эту цепочку в INPUT на порту прокси и в FORWARD.

max (не проверено)

Привет ... Я думаю что добавление этой строчки решит всю проблему !
[b]iptables -t filter -I INPUT 1 -p tcp -s 0/0 -d 192.168.0.1 --dport 3128 -j DROP[/b]

37 (не проверено)

Зачем вобще открытый порт для локалки 3128,

RSS-материал