Morph: Транспарент-прокси

5 сообщений / 0 new

Для комментирования войдите или зарегистрируйтесь

чт, 16/12/2004 - 00:24

Гость

Morph: Транспарент-прокси

Вопрос чисто теоретический: допустим есть сервер на linux, на нем пользователи ходят в инет через маскарадинг, включение\выключение инета производится добавлением\удалением правил в iptables
iptables -A FORWARD -s 192.168.0.34 -j ACCEPT
iptables -D FORWARD -s 192.168.0.34 -j ACCEPT

Если добавить редирект на порт squid с 80-го правилом:
iptables -t nat -A PREROUTING -i eth0 -d ! 192.168.0.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128

То ведь выходит, что если вручную на клиентской машине указать прокси и порт 3128 - юзер сможет ходить в инет в обход FORWARD-цепочки? Так?

Какие есть пути пресечения этого? Закрыть порт 3128 для юзеров вообще? Или добавить правило на выключение DROP на порты 80 и 3128 с опред ip?
[ Редактирование ]

пт, 17/12/2004 - 18:22

Morph (не проверено)

В смысле решит проблему? Просто добавить это правило, чтобы закрыть 3128? Или оперировать им(удалять\добавлять)?

чт, 16/12/2004 - 00:48

Nick

Не в сети

Зарегистрирован: 20/09/2010

Создать свою цепочку, и доступ открывать/закрывать в ней. Добавить -j в эту цепочку в INPUT на порту прокси и в FORWARD.

чт, 16/12/2004 - 15:46

max (не проверено)

Привет ... Я думаю что добавление этой строчки решит всю проблему !
[b]iptables -t filter -I INPUT 1 -p tcp -s 0/0 -d 192.168.0.1 --dport 3128 -j DROP[/b]

чт, 23/12/2004 - 13:18

37 (не проверено)

Зачем вобще открытый порт для локалки 3128,

Morph: Транспарент-прокси

Вход в систему

Найти

Навигация

Теги

Новое на форуме

Последние комментарии

Лучшее от Линуксцентра: