forum.opennet.ru

Форум Открытые системы на сервере
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

Squid+ipchains help, Dimon (?), 01-Ноя-01, (0) [смотреть все]

http squid opennet ru смотри, Кип (?), 21:47 , 01-Ноя-01, (1) //

Смотрел, ненашел ни че , Dimon (?), 13:41 , 08-Ноя-01, (2) //

http www bog pp ru work squid html transparentхреново искал, Кип (?), 16:00 , 08-Ноя-01, (3) //

Спасибо конечно, но это в случае прозрачного прокси, а у меня, как и сказано был, Dimon (?), 16:06 , 08-Ноя-01, (4)

в таком случае просто корректно задавай вопрос а то чего-то непонятное спрашив, Кип (?), 16:24 , 08-Ноя-01, (5)

В ipchains по умолчанию прописано разрешение для всего, в т ч и чтоб юзеры ход, NN (?), 16:31 , 08-Ноя-01, (6) //

ты правила показать можешь я телепат только по воскресеньям, а сегодня черверг, Кип (?), 16:35 , 08-Ноя-01, (7) //

Ладно, вопрос по моему был коректный, повторяю я в ipchains ipchains -P input DE, Dimon (?), 16:57 , 08-Ноя-01, (8) //

Это только дает возможность пользователям с любого адреса кстати, лучше только , NN (?), 18:30 , 08-Ноя-01, (11)

В том что им прописываю запрещение для всего, а для сквида разрешение, но как , Dimon (?), 16:58 , 08-Ноя-01, (9) //

неее, проблема в том, что надо было хотя бы прочитать для начала вот это http , Кип (?), 17:19 , 08-Ноя-01, (10) //

Если сквид слушает 3128 порт и все политики по умолчанию DENY, то можно обойтись, Ostap (?), 11:49 , 12-Ноя-01, (12)

Где можно найти логи IPCHAINS , algo (?), 21:32 , 11-Сен-02, (13)

var log kernel log, если в etc syslog conf прописано kern var log kernel, Goodvin (?), 14:18 , 09-Ноя-02, (14)

Сообщения [Сортировка по времени | RSS]

6. "RE: Squid+ipchains help ???" +/–

Сообщение от NN (?), 08-Ноя-01, 16:31

>Проблема!!!
>Стоит Линукс RH 6.2(смотрит в инет),
>Squid не прозрачный прокси,
>Как прописать в ipchains разрешение для
>того чтоб юзеры ходили через
>прокси, или нужен редиректор?
>Спасибо.
В ipchains по умолчанию прописано разрешение для всего, в т.ч. и "чтоб юзеры ходили через прокси".
В чем Проблема!!!-то?

Ответить | Правка | Наверх | Cообщить модератору

7. "RE: Squid+ipchains help ???" +/–

Сообщение от Кип (?), 08-Ноя-01, 16:35

ты правила показать можешь ? я телепат только по воскресеньям, а сегодня черверг Ж)
а в access.log сквидовом чего ?

Ответить | Правка | Наверх | Cообщить модератору

8. "RE: Squid+ipchains help ???" +/–

Сообщение от Dimon (?), 08-Ноя-01, 16:57

>ты правила показать можешь ? я
>телепат только по воскресеньям, а
>сегодня черверг Ж)
>а в access.log сквидовом чего ?
>
Ладно, вопрос по моему был коректный, повторяю я в ipchains
ipchains -P input DENY
ipchains -P output DENY
ipchains -P forward DENY
.......
теперь дошло дело до сквида
пишу
ipchains -A input eth0 -s any/0 -d a.b.c.d 3128 -j accept
и как говорится ни фига. Че не правильно?
Т.е в идеале чуваки должны ходить через прокси и туда куда firewall разрешает, а все остальное им запрещено.
Теперь понятно:)))

Ответить | Правка | Наверх | Cообщить модератору

11. "RE: Squid+ipchains help ???" +/–

Сообщение от NN (?), 08-Ноя-01, 18:30

>
>ipchains -P input DENY
>ipchains -P output DENY
>ipchains -P forward DENY
>
>.......
>
>теперь дошло дело до сквида
>
>пишу
>ipchains -A input eth0 -s any/0
>-d a.b.c.d 3128 -j accept
Это только дает возможность пользователям с любого адреса (кстати, лучше только свой диапазон, не так ли?) попросить чего-нибудь у squid'а (он, я так понимаю, слушает на 3128). Но squid-то захочет по этому запросу что-нибудь из Инета забрать. А ему
output deny...
Нужно сделать, как минимум,
ipchains -A output -s [свой адрес] -d 0.0.0.0 80 -j ACCEPT (кроме 80 -- что еще нужно от прокси)
Но и это не все. Нужно еще и ответ из Инета получить:
ipchains -A input -s 0.0.0.0 80 -d [свой адрес] -j ACCEPT
и вернуть что-нибудь клиенту
ipchains -A output -s a.b.c.d 3128 any/0 -j accept
и т.д., и т.п...........
>
>
>и как говорится ни фига. Че
>не правильно?
>Т.е в идеале чуваки должны ходить
>через прокси и туда куда
>firewall разрешает, а все остальное
>им запрещено.
>Теперь понятно:)))
Для начала советую вписать не просто DENY, а DENY -l и смотреть логи -- многое будет понятно

Ответить | Правка | Наверх | Cообщить модератору

9. "RE: Squid+ipchains help ???" +/–

Сообщение от Dimon (?), 08-Ноя-01, 16:58

>>Проблема!!!
>>Стоит Линукс RH 6.2(смотрит в инет),
>>Squid не прозрачный прокси,
>>Как прописать в ipchains разрешение для
>>того чтоб юзеры ходили через
>>прокси, или нужен редиректор?
>>Спасибо.
>
>В ipchains по умолчанию прописано разрешение
>для всего, в т.ч. и
>"чтоб юзеры ходили через прокси".
>
>В чем Проблема!!!-то?

В том что им прописываю запрещение для всего, а для сквида разрешение, но как?

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

10. "RE: Squid+ipchains help ???" +/–

Сообщение от Кип (?), 08-Ноя-01, 17:19

неее, проблема в том, что надо было хотя бы прочитать для начала вот это http://www.linux.org.ru:8101/books/HOWTO/Ipchains-HOWTO.html :)
хинт: каким макаром сквид клиенту пакеты вернет ?

Ответить | Правка | Наверх | Cообщить модератору

12. "RE: Squid+ipchains help ???" +/–

Сообщение от Ostap (?), 12-Ноя-01, 11:49

Если сквид слушает 3128 порт и все политики по умолчанию DENY, то можно обойтись вот чем:
ipchains -A input -s a.b.c.d/x -p tcp --dport 3128 -j ACCEPT
ipchains -A input -y -j DENY
ipchains -A input -j ACCEPT
Первая строка разрешает ходить твоей сетке на 3128 порт (сквид), вторая запрещает хождение всех пакетов с флагом TCP SYN на все остальные порты, третья разрешает хождение всем везде. Поскольку правила рассматриваются в строгом порядке, ты обеспечишь таким образом хождение всего куда тебе надо. :) И ответ от WWW серверов придут, и запросы на них уйдут...если ты политикой по умолчанию в цепочке output поставишь ACCEPT. В этом у тебя и грабли, ИМХО.
Будь здоров! :)

Ответить | Правка | Наверх | Cообщить модератору

13. "ipchains" +/–

Сообщение от algo (?), 11-Сен-02, 21:32

Где можно найти логи IPCHAINS?

Ответить | Правка | Наверх | Cообщить модератору

14. "RE: ipchains" +/–

Сообщение от Goodvin (?), 09-Ноя-02, 14:18

>Где можно найти логи IPCHAINS?
/var/log/kernel.log, если в /etc/syslog.conf прописано
...
kern.* /var/log/kernel.log
...
Подробнее читай Ipchains HOWTO.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

6. "RE: Squid+ipchains help ???"	+/–
Сообщение от NN (?), 08-Ноя-01, 16:31
>Проблема!!! >Стоит Линукс RH 6.2(смотрит в инет), >Squid не прозрачный прокси, >Как прописать в ipchains разрешение для >того чтоб юзеры ходили через >прокси, или нужен редиректор? >Спасибо. В ipchains по умолчанию прописано разрешение для всего, в т.ч. и "чтоб юзеры ходили через прокси". В чем Проблема!!!-то?
Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "RE: Squid+ipchains help ???"	+/–
	Сообщение от Кип (?), 08-Ноя-01, 16:35
	ты правила показать можешь ? я телепат только по воскресеньям, а сегодня черверг Ж) а в access.log сквидовом чего ?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "RE: Squid+ipchains help ???"	+/–
	Сообщение от Dimon (?), 08-Ноя-01, 16:57
	>ты правила показать можешь ? я >телепат только по воскресеньям, а >сегодня черверг Ж) >а в access.log сквидовом чего ? > Ладно, вопрос по моему был коректный, повторяю я в ipchains ipchains -P input DENY ipchains -P output DENY ipchains -P forward DENY ....... теперь дошло дело до сквида пишу ipchains -A input eth0 -s any/0 -d a.b.c.d 3128 -j accept и как говорится ни фига. Че не правильно? Т.е в идеале чуваки должны ходить через прокси и туда куда firewall разрешает, а все остальное им запрещено. Теперь понятно:)))
	Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "RE: Squid+ipchains help ???"	+/–
	Сообщение от NN (?), 08-Ноя-01, 18:30
	> >ipchains -P input DENY >ipchains -P output DENY >ipchains -P forward DENY > >....... > >теперь дошло дело до сквида > >пишу >ipchains -A input eth0 -s any/0 >-d a.b.c.d 3128 -j accept Это только дает возможность пользователям с любого адреса (кстати, лучше только свой диапазон, не так ли?) попросить чего-нибудь у squid'а (он, я так понимаю, слушает на 3128). Но squid-то захочет по этому запросу что-нибудь из Инета забрать. А ему output deny... Нужно сделать, как минимум, ipchains -A output -s [свой адрес] -d 0.0.0.0 80 -j ACCEPT (кроме 80 -- что еще нужно от прокси) Но и это не все. Нужно еще и ответ из Инета получить: ipchains -A input -s 0.0.0.0 80 -d [свой адрес] -j ACCEPT и вернуть что-нибудь клиенту ipchains -A output -s a.b.c.d 3128 any/0 -j accept и т.д., и т.п........... > > >и как говорится ни фига. Че >не правильно? >Т.е в идеале чуваки должны ходить >через прокси и туда куда >firewall разрешает, а все остальное >им запрещено. >Теперь понятно:))) Для начала советую вписать не просто DENY, а DENY -l и смотреть логи -- многое будет понятно
	Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "RE: Squid+ipchains help ???"	+/–
	Сообщение от Dimon (?), 08-Ноя-01, 16:58
	>>Проблема!!! >>Стоит Линукс RH 6.2(смотрит в инет), >>Squid не прозрачный прокси, >>Как прописать в ipchains разрешение для >>того чтоб юзеры ходили через >>прокси, или нужен редиректор? >>Спасибо. > >В ipchains по умолчанию прописано разрешение >для всего, в т.ч. и >"чтоб юзеры ходили через прокси". > >В чем Проблема!!!-то? В том что им прописываю запрещение для всего, а для сквида разрешение, но как?
	Ответить \| Правка \| К родителю #6 \| Наверх \| Cообщить модератору


	10. "RE: Squid+ipchains help ???"	+/–
	Сообщение от Кип (?), 08-Ноя-01, 17:19
	неее, проблема в том, что надо было хотя бы прочитать для начала вот это http://www.linux.org.ru:8101/books/HOWTO/Ipchains-HOWTO.html :) хинт: каким макаром сквид клиенту пакеты вернет ?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "RE: Squid+ipchains help ???"	+/–
	Сообщение от Ostap (?), 12-Ноя-01, 11:49
	Если сквид слушает 3128 порт и все политики по умолчанию DENY, то можно обойтись вот чем: ipchains -A input -s a.b.c.d/x -p tcp --dport 3128 -j ACCEPT ipchains -A input -y -j DENY ipchains -A input -j ACCEPT Первая строка разрешает ходить твоей сетке на 3128 порт (сквид), вторая запрещает хождение всех пакетов с флагом TCP SYN на все остальные порты, третья разрешает хождение всем везде. Поскольку правила рассматриваются в строгом порядке, ты обеспечишь таким образом хождение всего куда тебе надо. :) И ответ от WWW серверов придут, и запросы на них уйдут...если ты политикой по умолчанию в цепочке output поставишь ACCEPT. В этом у тебя и грабли, ИМХО. Будь здоров! :)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "ipchains"	+/–
	Сообщение от algo (?), 11-Сен-02, 21:32
	Где можно найти логи IPCHAINS?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "RE: ipchains"	+/–
	Сообщение от Goodvin (?), 09-Ноя-02, 14:18
	>Где можно найти логи IPCHAINS? /var/log/kernel.log, если в /etc/syslog.conf прописано ... kern.* /var/log/kernel.log ... Подробнее читай Ipchains HOWTO.
	Ответить \| Правка \| Наверх \| Cообщить модератору