Вопрос чисто теоретический: допустим есть сервер на linux, на нем пользователи ходят в инет через маскарадинг, включение\выключение инета производится добавлением\удалением правил в iptables
iptables -A FORWARD -s 192.168.0.34 -j ACCEPT
iptables -D FORWARD -s 192.168.0.34 -j ACCEPT
Если добавить редирект на порт squid с 80-го правилом:
iptables -t nat -A PREROUTING -i eth0 -d ! 192.168.0.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128
То ведь выходит, что если вручную на клиентской машине указать прокси и порт 3128 - юзер сможет ходить в инет в обход FORWARD-цепочки? Так?
Какие есть пути пресечения этого? Закрыть порт 3128 для юзеров вообще? Или добавить правило на выключение DROP на порты 80 и 3128 с опред ip?
[ Редактирование ]
Последние комментарии
8 лет 26 недель назад
8 лет 45 недель назад
9 лет 2 недели назад
9 лет 3 недели назад
9 лет 44 недели назад
9 лет 44 недели назад
9 лет 45 недель назад
9 лет 45 недель назад
9 лет 45 недель назад
9 лет 47 недель назад