Вопрос чисто теоретический: допустим есть сервер на linux, на нем пользователи ходят в инет через маскарадинг, включение\выключение инета производится добавлением\удалением правил в iptables
iptables -A FORWARD -s 192.168.0.34 -j ACCEPT
iptables -D FORWARD -s 192.168.0.34 -j ACCEPT
Если добавить редирект на порт squid с 80-го правилом:
iptables -t nat -A PREROUTING -i eth0 -d ! 192.168.0.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128
То ведь выходит, что если вручную на клиентской машине указать прокси и порт 3128 - юзер сможет ходить в инет в обход FORWARD-цепочки? Так?
Какие есть пути пресечения этого? Закрыть порт 3128 для юзеров вообще? Или добавить правило на выключение DROP на порты 80 и 3128 с опред ip?
[ Редактирование ]
Последние комментарии
9 лет 45 недель назад
10 лет 12 недель назад
10 лет 22 недели назад
10 лет 22 недели назад
11 лет 12 недель назад
11 лет 12 недель назад
11 лет 12 недель назад
11 лет 13 недель назад
11 лет 13 недель назад
11 лет 14 недель назад