Уважаемые админы. Поставил squid на Mandrake 9.0, отключил ip_forward.
Меня интересует прохождение покетов из инета в локальную сеть, т.е. если я из локалки запрашиваю страницу, то она возвращается на порт 3128?
И если при ip_forward=0 пакеты(любые) из инета попадают на сервак, то только через squid (ip/3128). Просто хотелось бы настроить iptables, так, чтобы можно было из локалки лазить в инет (только через squid), а из инета
на сервак и в локалку - только ответы на запросы. Возможно ли это?
  

• squid и прохождение пакетов из инета в локалку,ipmanyak, 16:40 , 10-Ноя-03
  • squid и прохождение пакетов из инета в локалку,Михаил, 16:49 , 10-Ноя-03
    • squid и прохождение пакетов из инета в локалку,kazak, 17:12 , 10-Ноя-03
      • squid и прохождение пакетов из инета в локалку,Михаил, 18:50 , 10-Ноя-03
        • squid и прохождение пакетов из инета в локалку,kazak, 10:30 , 11-Ноя-03
          • squid и прохождение пакетов из инета в локалку,kazak, 09:46 , 12-Ноя-03
            • squid и прохождение пакетов из инета в локалку,ipmanyak, 12:37 , 12-Ноя-03
          • squid и прохождение пакетов из инета в локалку,Michael, 11:50 , 12-Ноя-03

>Уважаемые админы. Поставил squid на Mandrake 9.0, отключил ip_forward.
>Меня интересует прохождение покетов из инета в локальную сеть, т.е. если я
>из локалки запрашиваю страницу, то она возвращается на порт 3128?
>И если при ip_forward=0 пакеты(любые) из инета попадают на сервак, то только
>через squid (ip/3128). Просто хотелось бы настроить iptables, так, чтобы можно
>было из локалки лазить в инет (только через squid), а из
>инета
>на сервак и в локалку - только ответы на запросы. Возможно ли
>это?
>
все возможно! ip_forward=1 нужен по любасу, иначе пакеты между интерфейсам не будут бегать.
из инета в локаль - настраивай разрешение ip, с которых будешь ходить и нужные порты или все порты , но сам понимаешь это не совсем безопасно.
что именно из инета в локали хочешь делать ? тут масса вариантов !

>все возможно! ip_forward=1 нужен по любасу, иначе пакеты между интерфейсам не будут
>бегать.
исходя из первоначального вопроса, им и не надо бегать!
все пакеты будут бегать к сквиду и от сквида, но никак не между интерфейсами...
так что ip_forward можно обнулить для безопасности, пока с правилами файервола не разберешься...
по крайней мере, я так и делал, и интернет у всех был!

Может я не коректно вопрос поставил.

1)Меня интересует прохождение покетов из инета в локальную сеть, т.е. если я из локалки запрашиваю страницу, то она возвращается на порт 3128?

2)Атаковать сервер можно только через squid?

>1)Меня интересует прохождение покетов из инета в локальную сеть, т.е. если я
>из локалки запрашиваю страницу, то она возвращается на порт 3128?
похоже, вы не очень представляете себе работу прокси-сервера...
если писать вкратце, то я вижу ее так:
1) клиент (браузер) по локалке послыает запрос проски-серверу
2) прокси смотрит в свой кэш, не ли там нужного объекта
3) если объект найден в кэше, то выдается клиенту
4) если объект не найден в кэше, то прокси сам запрашивает объект у сервера в интернете. если удается, то отдает объект клиенту и сохраняет его копию в свой кэш.
тут важный момент - прокси не перенаправляет на внешиний сервер клиентский запрос, а составляет свой, от своего имени и адреса.
т.е. реально ip-пакеты ходят отдельно в локальной сети, отдельно в интернет и обратно, никак не смешиваясь. т.е. маршрутизация для работы проски не нужна.

>2)Атаковать сервер можно только через squid?
даже количество возможных способов атаковать науке неизвестно...
и уже известных способов - множество...

а если говорить конкретно про сквид, то обязательно надо убрать его с внешних интерфейсов!

Что значит убрать squid с внешних интерфейсов?

А в чем собственно разница какой интерфейс в squid.conf указывать - объясните если не трудно?

>А в чем собственно разница какой интерфейс в squid.conf указывать - объясните
>если не трудно?
укажи в конфиге сквида
http_port твой_локал_ip:3128

>Что значит убрать squid с внешних интерфейсов?
https://www.opennet.ru/openforum/vsluhforumID1/37110.html