URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 9947
[ Назад ]
Исходное сообщение
"Squid+ipchains help"
Отправлено Dimon , 01-Ноя-01 20:58 
Проблема!!!
Стоит Линукс RH 6.2(смотрит в инет), Squid не прозрачный прокси,
Как прописать в ipchains разрешение для того чтоб юзеры ходили через прокси, или нужен редиректор?
Спасибо.
Содержание
Сообщения в этом обсуждении
"RE: Squid+ipchains help"
Отправлено Кип , 01-Ноя-01 21:47 
http://squid.opennet.ru смотри
"RE: Squid+ipchains help"
Отправлено Dimon , 08-Ноя-01 13:41 
>http://squid.opennet.ru смотри

Смотрел, ненашел ни че:(((

"RE: Squid+ipchains help"
Отправлено Кип , 08-Ноя-01 16:00 
http://www.bog.pp.ru/work/squid.html#transparent
хреново искал
"RE: Squid+ipchains help"
Отправлено Dimon , 08-Ноя-01 16:06 
>http://www.bog.pp.ru/work/squid.html#transparent
>хреново искал


Спасибо конечно, но это в случае прозрачного прокси, а у меня, как и сказано было выше прокси не прозрачен, и пока я его таковым делать не собираюсь.:))

"RE: Squid+ipchains help"
Отправлено Кип , 08-Ноя-01 16:24 
в таком случае просто корректно задавай вопрос :)
а то чего-то непонятное спрашиваешь, если ты ничего файерволом не закрывал или у тебя вообще не запущен файервол, то сквид будет нормально работать, главное указать сквиду куда и с какого адреса ходить, если сквид отстреливает твоих пользователей, то это никакого отношения к ipchains не имеет... как видишь на информации, представленной тобой, можно только догадки строить...
Ы? :)
"RE: Squid+ipchains help ???"
Отправлено NN , 08-Ноя-01 16:31 
>Проблема!!!
>Стоит Линукс RH 6.2(смотрит в инет),
>Squid не прозрачный прокси,
>Как прописать в ipchains разрешение для
>того чтоб юзеры ходили через
>прокси, или нужен редиректор?
>Спасибо.

В ipchains по умолчанию прописано разрешение для всего, в т.ч. и "чтоб юзеры ходили через прокси".
В чем Проблема!!!-то?

"RE: Squid+ipchains help ???"
Отправлено Кип , 08-Ноя-01 16:35 
ты правила показать можешь ? я телепат только по воскресеньям, а сегодня черверг Ж)
а в access.log сквидовом чего ?
"RE: Squid+ipchains help ???"
Отправлено Dimon , 08-Ноя-01 16:57 
>ты правила показать можешь ? я
>телепат только по воскресеньям, а
>сегодня черверг Ж)
>а в access.log сквидовом чего ?
>

Ладно, вопрос по моему был коректный, повторяю я в ipchains

ipchains -P input DENY
ipchains -P output DENY
ipchains -P forward DENY

.......

теперь дошло дело до сквида

пишу
ipchains -A input eth0 -s any/0 -d a.b.c.d 3128 -j accept

и как говорится ни фига. Че не правильно?
Т.е в идеале чуваки должны ходить через прокси и туда куда firewall разрешает, а все остальное им запрещено.
Теперь понятно:)))

"RE: Squid+ipchains help ???"
Отправлено NN , 08-Ноя-01 18:30 

>
>ipchains -P input DENY
>ipchains -P output DENY
>ipchains -P forward DENY
>
>.......
>
>теперь дошло дело до сквида
>
>пишу
>ipchains -A input eth0 -s any/0
>-d a.b.c.d 3128 -j accept
Это только дает возможность пользователям с любого адреса (кстати, лучше только свой диапазон, не так ли?) попросить чего-нибудь у squid'а (он, я так понимаю, слушает на 3128). Но squid-то захочет по этому запросу что-нибудь из Инета забрать. А ему
output deny...
Нужно сделать, как минимум,
ipchains -A output -s [свой адрес] -d 0.0.0.0 80 -j ACCEPT (кроме 80 -- что еще нужно от прокси)
Но и это не все. Нужно еще и ответ из Инета получить:
ipchains -A input -s 0.0.0.0 80 -d [свой адрес] -j ACCEPT
и вернуть что-нибудь клиенту
ipchains -A output -s a.b.c.d 3128 any/0 -j accept
и т.д., и т.п...........

>
>
>и как говорится ни фига. Че
>не правильно?
>Т.е в идеале чуваки должны ходить
>через прокси и туда куда
>firewall разрешает, а все остальное
>им запрещено.
>Теперь понятно:)))
Для начала советую вписать не просто DENY, а DENY -l и смотреть логи -- многое будет понятно


"RE: Squid+ipchains help ???"
Отправлено Dimon , 08-Ноя-01 16:58 
>>Проблема!!!
>>Стоит Линукс RH 6.2(смотрит в инет),
>>Squid не прозрачный прокси,
>>Как прописать в ipchains разрешение для
>>того чтоб юзеры ходили через
>>прокси, или нужен редиректор?
>>Спасибо.
>
>В ipchains по умолчанию прописано разрешение
>для всего, в т.ч. и
>"чтоб юзеры ходили через прокси".
>
>В чем Проблема!!!-то?


В том что им прописываю запрещение для всего, а для сквида разрешение, но как?

"RE: Squid+ipchains help ???"
Отправлено Кип , 08-Ноя-01 17:19 
неее, проблема в том, что надо было хотя бы прочитать для начала вот это http://www.linux.org.ru:8101/books/HOWTO/Ipchains-HOWTO.html :)
хинт: каким макаром сквид клиенту пакеты вернет ?
"RE: Squid+ipchains help ???"
Отправлено Ostap , 12-Ноя-01 11:49 
Если сквид слушает 3128 порт и все политики по умолчанию DENY, то можно обойтись вот чем:
ipchains -A input -s a.b.c.d/x -p tcp --dport 3128 -j ACCEPT
ipchains -A input -y -j DENY
ipchains -A input -j ACCEPT

Первая строка разрешает ходить твоей сетке на 3128 порт (сквид), вторая запрещает хождение всех пакетов с флагом TCP SYN на все остальные порты, третья разрешает хождение всем везде. Поскольку правила рассматриваются в строгом порядке, ты обеспечишь таким образом хождение всего куда тебе надо. :) И ответ от WWW серверов придут, и запросы на них уйдут...если ты политикой по умолчанию в цепочке output поставишь ACCEPT. В этом у тебя и грабли, ИМХО.

Будь здоров! :)

"ipchains"
Отправлено algo , 11-Сен-02 21:32 
Где можно найти логи IPCHAINS?
"RE: ipchains"
Отправлено Goodvin , 09-Ноя-02 14:18 
>Где можно найти логи IPCHAINS?
/var/log/kernel.log, если в /etc/syslog.conf прописано

...
kern.* /var/log/kernel.log
...

Подробнее читай Ipchains HOWTO.