форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы Настройка Squid и других прокси серверов (Public)
Изначальное сообщение		[Проследить за развитием треда]

"squid и прохождение пакетов из инета в локалку"
Сообщение от kazak on 10-Ноя-03, 16:26  (MSK)
Уважаемые админы. Поставил squid на Mandrake 9.0, отключил ip_forward. Меня интересует прохождение покетов из инета в локальную сеть, т.е. если я из локалки запрашиваю страницу, то она возвращается на порт 3128? И если при ip_forward=0 пакеты(любые) из инета попадают на сервак, то только через squid (ip/3128). Просто хотелось бы настроить iptables, так, чтобы можно было из локалки лазить в инет (только через squid), а из инета на сервак и в локалку - только ответы на запросы. Возможно ли это?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "squid и прохождение пакетов из инета в локалку"
Сообщение от ipmanyak on 10-Ноя-03, 16:40  (MSK)
>Уважаемые админы. Поставил squid на Mandrake 9.0, отключил ip_forward. >Меня интересует прохождение покетов из инета в локальную сеть, т.е. если я >из локалки запрашиваю страницу, то она возвращается на порт 3128? >И если при ip_forward=0 пакеты(любые) из инета попадают на сервак, то только >через squid (ip/3128). Просто хотелось бы настроить iptables, так, чтобы можно >было из локалки лазить в инет (только через squid), а из >инета >на сервак и в локалку - только ответы на запросы. Возможно ли >это? > все возможно! ip_forward=1 нужен по любасу, иначе пакеты между интерфейсам не будут бегать. из инета в локаль - настраивай разрешение ip, с которых будешь ходить и нужные порты или все порты , но сам понимаешь это не совсем безопасно. что именно из инета в локали хочешь делать ? тут масса вариантов !
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "squid и прохождение пакетов из инета в локалку"
	Сообщение от Михаил on 10-Ноя-03, 16:49  (MSK)
	>все возможно! ip_forward=1 нужен по любасу, иначе пакеты между интерфейсам не будут >бегать. исходя из первоначального вопроса, им и не надо бегать! все пакеты будут бегать к сквиду и от сквида, но никак не между интерфейсами... так что ip_forward можно обнулить для безопасности, пока с правилами файервола не разберешься... по крайней мере, я так и делал, и интернет у всех был!
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "squid и прохождение пакетов из инета в локалку"
	Сообщение от kazak on 10-Ноя-03, 17:12  (MSK)
	Может я не коректно вопрос поставил. 1)Меня интересует прохождение покетов из инета в локальную сеть, т.е. если я из локалки запрашиваю страницу, то она возвращается на порт 3128? 2)Атаковать сервер можно только через squid?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "squid и прохождение пакетов из инета в локалку"
	Сообщение от Михаил on 10-Ноя-03, 18:50  (MSK)
	>1)Меня интересует прохождение покетов из инета в локальную сеть, т.е. если я >из локалки запрашиваю страницу, то она возвращается на порт 3128? похоже, вы не очень представляете себе работу прокси-сервера... если писать вкратце, то я вижу ее так: 1) клиент (браузер) по локалке послыает запрос проски-серверу 2) прокси смотрит в свой кэш, не ли там нужного объекта 3) если объект найден в кэше, то выдается клиенту 4) если объект не найден в кэше, то прокси сам запрашивает объект у сервера в интернете. если удается, то отдает объект клиенту и сохраняет его копию в свой кэш. тут важный момент - прокси не перенаправляет на внешиний сервер клиентский запрос, а составляет свой, от своего имени и адреса. т.е. реально ip-пакеты ходят отдельно в локальной сети, отдельно в интернет и обратно, никак не смешиваясь. т.е. маршрутизация для работы проски не нужна. >2)Атаковать сервер можно только через squid? даже количество возможных способов атаковать науке неизвестно... и уже известных способов - множество... а если говорить конкретно про сквид, то обязательно надо убрать его с внешних интерфейсов!
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "squid и прохождение пакетов из инета в локалку"
	Сообщение от kazak on 11-Ноя-03, 10:30  (MSK)
	Что значит убрать squid с внешних интерфейсов?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "squid и прохождение пакетов из инета в локалку"
	Сообщение от kazak on 12-Ноя-03, 09:46  (MSK)
	А в чем собственно разница какой интерфейс в squid.conf указывать - объясните если не трудно?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "squid и прохождение пакетов из инета в локалку"
	Сообщение от ipmanyak on 12-Ноя-03, 12:37  (MSK)
	>А в чем собственно разница какой интерфейс в squid.conf указывать - объясните >если не трудно? укажи в конфиге сквида http_port твой_локал_ip:3128
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "squid и прохождение пакетов из инета в локалку"
	Сообщение от Michael on 12-Ноя-03, 11:50  (MSK)
	>Что значит убрать squid с внешних интерфейсов? https://www.opennet.ru/openforum/vsluhforumID1/37110.html
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.