forum.opennet.ru - "Iptables и proxy" (4)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Iptables и proxy"

Форумы Информационная безопасность (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Iptables и proxy"
Сообщение от Rusya89 (ok) on 07-Ноя-06, 23:52
Здравствуйте! проблема состоит в следующем. Есть сеть 10.1.1.0/24 в которой есть рутер 10.1.1.254 и прокси сервер за пределами этой сети скажем 10.10.1.222 с портом 3128, надо перебросить запросы с 10.1.1.0/24 на 10.10.1.222 через рутер с портом 3128 при этом надо заблокировать на рутере тех кто пользоваться проксей не должен. --------- $IPTABLES -A FORWARD -p tcp -d 10.1.1.254 --dport 3128 -j ACCEPT $IPTABLES -t nat -A PREROUTING -p tcp -d 10.1.1.254 -m multiport --dports 3128 -j DNAT --to-destination 10.11.0.224 $IPTABLES -t nat -A POSTROUTING -p tcp -d 10.10.1.222 --dport 3128 -j SNAT --to-source 10.1.1.254 $IPTABLES -t nat -A OUTPUT -d 10.1.1.254 -p tcp --dport 3128 -j DNAT --to-destination 10.10.1.222 --------- С помощью этого правила запросы с посланые с сети 10.1.1.0/24 на 10.1.1.254:3128 попадают на 10.10.1.222, все в порядке но проблема в том что доступ нужен к проксе только 4-ем компам в сетке как заблокировать остальные машины и оставить только эти 4-ре?
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Iptables и proxy, Vaso Petrovich, 09:16 , 08-Ноя-06, (1)

Iptables и proxy, Rusya89, 13:52 , 08-Ноя-06, (2)

Iptables и proxy, stager, 07:07 , 09-Ноя-06, (3)

Iptables и proxy, Rusya89, 22:32 , 09-Ноя-06, (4)

Сообщения по теме [Сортировка по времени, UBB]

1. "Iptables и proxy"

Сообщение от Vaso Petrovich on 08-Ноя-06, 09:16

>Здравствуйте! проблема состоит в следующем.
>Есть сеть 10.1.1.0/24 в которой есть рутер 10.1.1.254 и прокси сервер за
>пределами этой сети скажем 10.10.1.222 с портом 3128, надо перебросить запросы
>с 10.1.1.0/24 на 10.10.1.222 через рутер с портом 3128 при этом
>надо заблокировать на рутере тех кто пользоваться проксей не должен.
>---------
>$IPTABLES -A FORWARD -p tcp -d 10.1.1.254 --dport 3128 -j ACCEPT
>$IPTABLES -t nat -A PREROUTING -p tcp -d 10.1.1.254 -m multiport --dports
>3128 -j DNAT --to-destination 10.11.0.224
а зачем -m multiport? в чем тайны смысл? использовать мультипорт и один порт
>$IPTABLES -t nat -A POSTROUTING -p tcp -d 10.10.1.222 --dport 3128 -j
>SNAT --to-source 10.1.1.254
>$IPTABLES -t nat -A OUTPUT -d 10.1.1.254 -p tcp --dport 3128
>-j DNAT --to-destination 10.10.1.222
>---------
>С помощью этого правила запросы с посланые с сети 10.1.1.0/24 на 10.1.1.254:3128
>попадают на 10.10.1.222, все в порядке но проблема в том что
>доступ нужен к проксе только 4-ем компам в сетке как заблокировать
>остальные машины и оставить только эти 4-ре?
есть куча спобсов, анпример в сквиде запретить, либо в фаире прикрыть, можно на компах клиентов инет, вообщем просто придумать что именно больше подходит

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Iptables и proxy"

Сообщение от Rusya89 (ok) on 08-Ноя-06, 13:52

>
>есть куча спобсов, анпример в сквиде запретить, либо в фаире прикрыть, можно
>на компах клиентов инет, вообщем просто придумать что именно больше подходит
>
меня интересует как именно закрыть на этом рутере доступ к проксе всей сети при этом что бы некоторые могли ходить в инет по 3128 порту проблема тока пока в этом, а на проксю доступа нету а на рутере поднять проксю нету

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Iptables и proxy"

Сообщение от stager (??) on 09-Ноя-06, 07:07

вместо вот этого
>$IPTABLES -A FORWARD -p tcp -d 10.1.1.254 --dport 3128 -j ACCEPT
пишешь
$IPTABLES -A FORWARD -p tcp -s 10.1.1.10 -d 10.1.1.254 --dport 3128 -j ACCEPT
$IPTABLES -A FORWARD -p tcp -s 10.1.1.16 -d 10.1.1.254 --dport 3128 -j ACCEPT
$IPTABLES -A FORWARD -p tcp -s 10.1.1.17 -d 10.1.1.254 --dport 3128 -j ACCEPT
$IPTABLES -A FORWARD -p tcp -s 10.1.1.216 -d 10.1.1.254 --dport 3128 -j ACCEPT
$IPTABLES -A FORWARD -p tcp -d 10.1.1.254 --dport 3128 -j REJECT
>$IPTABLES -t nat -A PREROUTING -p tcp -d 10.1.1.254 -m multiport --dports 3128 -j DNAT --to-destination 10.11.0.224
>$IPTABLES -t nat -A POSTROUTING -p tcp -d 10.10.1.222 --dport 3128 -j SNAT --to-source 10.1.1.254
>$IPTABLES -t nat -A OUTPUT -d 10.1.1.254 -p tcp --dport 3128 -j DNAT --to-destination 10.10.1.222

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Iptables и proxy"

Сообщение от Rusya89 (ok) on 09-Ноя-06, 22:32

Тоесть щас прописав эти правила, юзеры с внутренней локалки не смогут ходить на проксю по 3128 порту а пинговать смогут? и иметь вообще доступ или для этих правил надо будет делать "multiport"

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Iptables и proxy"
Сообщение от Vaso Petrovich on 08-Ноя-06, 09:16
>Здравствуйте! проблема состоит в следующем. >Есть сеть 10.1.1.0/24 в которой есть рутер 10.1.1.254 и прокси сервер за >пределами этой сети скажем 10.10.1.222 с портом 3128, надо перебросить запросы >с 10.1.1.0/24 на 10.10.1.222 через рутер с портом 3128 при этом >надо заблокировать на рутере тех кто пользоваться проксей не должен. >--------- >$IPTABLES -A FORWARD -p tcp -d 10.1.1.254 --dport 3128 -j ACCEPT >$IPTABLES -t nat -A PREROUTING -p tcp -d 10.1.1.254 -m multiport --dports >3128 -j DNAT --to-destination 10.11.0.224 а зачем -m multiport? в чем тайны смысл? использовать мультипорт и один порт >$IPTABLES -t nat -A POSTROUTING -p tcp -d 10.10.1.222 --dport 3128 -j >SNAT --to-source 10.1.1.254 >$IPTABLES -t nat -A OUTPUT -d 10.1.1.254 -p tcp --dport 3128 >-j DNAT --to-destination 10.10.1.222 >--------- >С помощью этого правила запросы с посланые с сети 10.1.1.0/24 на 10.1.1.254:3128 >попадают на 10.10.1.222, все в порядке но проблема в том что >доступ нужен к проксе только 4-ем компам в сетке как заблокировать >остальные машины и оставить только эти 4-ре? есть куча спобсов, анпример в сквиде запретить, либо в фаире прикрыть, можно на компах клиентов инет, вообщем просто придумать что именно больше подходит
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Iptables и proxy"
	Сообщение от Rusya89 (ok) on 08-Ноя-06, 13:52
	> >есть куча спобсов, анпример в сквиде запретить, либо в фаире прикрыть, можно >на компах клиентов инет, вообщем просто придумать что именно больше подходит > меня интересует как именно закрыть на этом рутере доступ к проксе всей сети при этом что бы некоторые могли ходить в инет по 3128 порту проблема тока пока в этом, а на проксю доступа нету а на рутере поднять проксю нету
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

3. "Iptables и proxy"
Сообщение от stager (??) on 09-Ноя-06, 07:07
вместо вот этого >$IPTABLES -A FORWARD -p tcp -d 10.1.1.254 --dport 3128 -j ACCEPT пишешь $IPTABLES -A FORWARD -p tcp -s 10.1.1.10 -d 10.1.1.254 --dport 3128 -j ACCEPT $IPTABLES -A FORWARD -p tcp -s 10.1.1.16 -d 10.1.1.254 --dport 3128 -j ACCEPT $IPTABLES -A FORWARD -p tcp -s 10.1.1.17 -d 10.1.1.254 --dport 3128 -j ACCEPT $IPTABLES -A FORWARD -p tcp -s 10.1.1.216 -d 10.1.1.254 --dport 3128 -j ACCEPT $IPTABLES -A FORWARD -p tcp -d 10.1.1.254 --dport 3128 -j REJECT >$IPTABLES -t nat -A PREROUTING -p tcp -d 10.1.1.254 -m multiport --dports 3128 -j DNAT --to-destination 10.11.0.224 >$IPTABLES -t nat -A POSTROUTING -p tcp -d 10.10.1.222 --dport 3128 -j SNAT --to-source 10.1.1.254 >$IPTABLES -t nat -A OUTPUT -d 10.1.1.254 -p tcp --dport 3128 -j DNAT --to-destination 10.10.1.222
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Iptables и proxy"
	Сообщение от Rusya89 (ok) on 09-Ноя-06, 22:32
	Тоесть щас прописав эти правила, юзеры с внутренней локалки не смогут ходить на проксю по 3128 порту а пинговать смогут? и иметь вообще доступ или для этих правил надо будет делать "multiport"
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]