* [Comm] Iptables
@ 2003-09-16 15:33 Maxim Ivanov
2003-09-16 15:36 ` Maxim Ivanov
2003-09-17 9:48 ` Alexey Borovskoy
0 siblings, 2 replies; 5+ messages in thread
From: Maxim Ivanov @ 2003-09-16 15:33 UTC (permalink / raw)
To: community
Подскажите пожалуйста, поставил Squid с авторизацией,
сверху повесил IPtables (вывод iptables -L в файле)
заметил эксклюзивную картину: мы теперь пароля не спрашиваем, мы просто
работаем в Инете....
Как это получается - не понятно. Похоже, пакеты идут мимо сквида прямо
на 80-й порт (их слушают на 3128). Но у меня явно не написано правило их
перебрасывать.
Вопрос такой: каковы минимально допустимые настройки защиты машины, на
которой работает прокси с авторизацией (не прозрачной)?
Уверен, что есть что-то похожее на "все запретить, разрешить вход по
3128 TCP и выход после работы локального процесса по 80".
Это реально?
^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [Comm] Iptables
2003-09-16 15:33 [Comm] Iptables Maxim Ivanov
@ 2003-09-16 15:36 ` Maxim Ivanov
2003-09-16 17:33 ` Egor S. Orlov
2003-09-17 9:48 ` Alexey Borovskoy
1 sibling, 1 reply; 5+ messages in thread
From: Maxim Ivanov @ 2003-09-16 15:36 UTC (permalink / raw)
To: community
[-- Attachment #1: Type: text/plain, Size: 918 bytes --]
Забыл файлик положить...
On Tue, 16 Sep 2003 19:33:49 +0400
Maxim Ivanov <ivanov@amos.ru> wrote:
> Подскажите пожалуйста, поставил Squid с авторизацией,
> сверху повесил IPtables (вывод iptables -L в файле)
> заметил эксклюзивную картину: мы теперь пароля не спрашиваем, мы
> просто работаем в Инете....
> Как это получается - не понятно. Похоже, пакеты идут мимо сквида прямо
> на 80-й порт (их слушают на 3128). Но у меня явно не написано правило
> их перебрасывать.
>
> Вопрос такой: каковы минимально допустимые настройки защиты машины, на
> которой работает прокси с авторизацией (не прозрачной)?
> Уверен, что есть что-то похожее на "все запретить, разрешить вход по
> 3128 TCP и выход после работы локального процесса по 80".
> Это реально?
>
>
> _______________________________________________
> Community mailing list
> Community@altlinux.ru
> http://www.altlinux.ru/mailman/listinfo/community
>
>
>
[-- Attachment #2: iptab.txt --]
[-- Type: text/plain, Size: 6005 bytes --]
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
bad_packets all -- anywhere anywhere
DROP all -- anywhere ALL-SYSTEMS.MCAST.NET
ACCEPT all -- 192.168.1.0/24 anywhere
ACCEPT all -- anywhere 192.168.1.255
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
tcp_inbound tcp -- anywhere anywhere
udp_inbound udp -- anywhere anywhere
icmp_packets icmp -- anywhere anywhere
DROP all -- anywhere 255.255.255.255
LOG all -- anywhere anywhere limit: avg 3/min burst 3 LOG level warning prefix `INPUT packet died: '
Chain FORWARD (policy DROP)
target prot opt source destination
bad_packets all -- anywhere anywhere
tcp_outbound tcp -- anywhere anywhere
udp_outbound udp -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
LOG all -- anywhere anywhere limit: avg 3/min burst 3 LOG level warning prefix `FORWARD packet died: '
Chain OUTPUT (policy DROP)
target prot opt source destination
DROP icmp -- anywhere anywhere state INVALID
ACCEPT all -- localhost.localdomain anywhere
ACCEPT all -- anywhere anywhere
ACCEPT all -- Administrator.server2000.amos anywhere
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
LOG all -- anywhere anywhere limit: avg 3/min burst 3 LOG level warning prefix `OUTPUT packet died: '
Chain bad_packets (2 references)
target prot opt source destination
LOG all -- anywhere anywhere state INVALID LOG level warning prefix `Invalid packet: '
DROP all -- anywhere anywhere state INVALID
bad_tcp_packets tcp -- anywhere anywhere
RETURN all -- anywhere anywhere
Chain bad_tcp_packets (1 references)
target prot opt source destination
RETURN tcp -- anywhere anywhere
LOG tcp -- anywhere anywhere tcp flags:!SYN,RST,ACK/SYN state NEW LOG level warning prefix `New not syn: '
DROP tcp -- anywhere anywhere tcp flags:!SYN,RST,ACK/SYN state NEW
RETURN tcp -- anywhere anywhere
Chain icmp_packets (1 references)
target prot opt source destination
LOG icmp -f anywhere anywhere LOG level warning prefix `ICMP Fragment: '
DROP icmp -f anywhere anywhere
ACCEPT icmp -- anywhere anywhere icmp time-exceeded
RETURN icmp -- anywhere anywhere
Chain tcp_inbound (1 references)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpt:http
ACCEPT tcp -- anywhere anywhere tcp dpt:webcache
ACCEPT tcp -- anywhere anywhere tcp dpt:https
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp
ACCEPT tcp -- anywhere anywhere tcp spt:ftp-data
ACCEPT tcp -- anywhere anywhere tcp dpts:62000:64000
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
ACCEPT tcp -- anywhere anywhere tcp dpts:5000:5100
ACCEPT tcp -- anywhere anywhere tcp dpt:squid
RETURN tcp -- anywhere anywhere
Chain tcp_outbound (1 references)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpt:http
REJECT tcp -- anywhere anywhere tcp dpt:irc reject-with icmp-port-unreachable
REJECT tcp -- anywhere anywhere tcp dpt:telnet reject-with icmp-port-unreachable
REJECT tcp -- anywhere anywhere tcp dpt:nntp reject-with icmp-port-unreachable
REJECT tcp -- anywhere anywhere tcp dpt:4443 reject-with icmp-port-unreachable
REJECT tcp -- anywhere anywhere tcp dpt:1863 reject-with icmp-port-unreachable
REJECT tcp -- anywhere anywhere tcp dpt:smtp reject-with icmp-port-unreachable
REJECT tcp -- anywhere anywhere tcp dpt:pop3 reject-with icmp-port-unreachable
REJECT tcp -- anywhere anywhere tcp dpt:imap reject-with icmp-port-unreachable
ACCEPT tcp -- anywhere anywhere
Chain udp_inbound (1 references)
target prot opt source destination
DROP udp -- anywhere anywhere udp dpt:netbios-ns
DROP udp -- anywhere anywhere udp dpt:netbios-dgm
ACCEPT udp -- anywhere anywhere udp dpt:domain
ACCEPT udp -- anywhere anywhere udp dpt:3128
RETURN udp -- anywhere anywhere
Chain udp_outbound (1 references)
target prot opt source destination
REJECT udp -- anywhere anywhere udp dpt:4000 reject-with icmp-port-unreachable
ACCEPT udp -- anywhere anywhere
^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [Comm] Iptables
2003-09-16 15:36 ` Maxim Ivanov
@ 2003-09-16 17:33 ` Egor S. Orlov
2003-09-16 17:40 ` Egor S. Orlov
0 siblings, 1 reply; 5+ messages in thread
From: Egor S. Orlov @ 2003-09-16 17:33 UTC (permalink / raw)
To: community
[-- Attachment #1: Type: text/plain, Size: 1170 bytes --]
On Tue, 16 Sep 2003 19:36:31 +0400
Maxim Ivanov <ivanov@amos.ru> wrote:
> Забыл файлик положить...
А если вывод
iptable -t nat -L посмотреть?
>
> On Tue, 16 Sep 2003 19:33:49 +0400
> Maxim Ivanov <ivanov@amos.ru> wrote:
>
> > Подскажите пожалуйста, поставил Squid с авторизацией,
> > сверху повесил IPtables (вывод iptables -L в файле)
> > заметил эксклюзивную картину: мы теперь пароля не спрашиваем, мы
> > просто работаем в Инете....
> > Как это получается - не понятно. Похоже, пакеты идут мимо сквида прямо
> > на 80-й порт (их слушают на 3128). Но у меня явно не написано правило
> > их перебрасывать.
> >
> > Вопрос такой: каковы минимально допустимые настройки защиты машины, на
> > которой работает прокси с авторизацией (не прозрачной)?
> > Уверен, что есть что-то похожее на "все запретить, разрешить вход по
> > 3128 TCP и выход после работы локального процесса по 80".
> > Это реально?
> >
> >
> > _______________________________________________
> > Community mailing list
> > Community@altlinux.ru
> > http://www.altlinux.ru/mailman/listinfo/community
> >
> >
> >
>
--
WBR, Egor S. Orlov
FST SPbSPU
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [Comm] Iptables
2003-09-16 17:33 ` Egor S. Orlov
@ 2003-09-16 17:40 ` Egor S. Orlov
0 siblings, 0 replies; 5+ messages in thread
From: Egor S. Orlov @ 2003-09-16 17:40 UTC (permalink / raw)
To: community
[-- Attachment #1: Type: text/plain, Size: 1421 bytes --]
On Tue, 16 Sep 2003 21:33:19 +0400
"Egor S. Orlov" <Egor.Orlov@avalon.ru> wrote:
> On Tue, 16 Sep 2003 19:36:31 +0400
> Maxim Ivanov <ivanov@amos.ru> wrote:
>
> > Забыл файлик положить...
>
> А если вывод
> iptable -t nat -L посмотреть?
сорри
iptables -t nat -L
конечно же
>
> >
> > On Tue, 16 Sep 2003 19:33:49 +0400
> > Maxim Ivanov <ivanov@amos.ru> wrote:
> >
> > > Подскажите пожалуйста, поставил Squid с авторизацией,
> > > сверху повесил IPtables (вывод iptables -L в файле)
> > > заметил эксклюзивную картину: мы теперь пароля не спрашиваем, мы
> > > просто работаем в Инете....
> > > Как это получается - не понятно. Похоже, пакеты идут мимо сквида прямо
> > > на 80-й порт (их слушают на 3128). Но у меня явно не написано правило
> > > их перебрасывать.
> > >
> > > Вопрос такой: каковы минимально допустимые настройки защиты машины, на
> > > которой работает прокси с авторизацией (не прозрачной)?
> > > Уверен, что есть что-то похожее на "все запретить, разрешить вход по
> > > 3128 TCP и выход после работы локального процесса по 80".
> > > Это реально?
> > >
> > >
> > > _______________________________________________
> > > Community mailing list
> > > Community@altlinux.ru
> > > http://www.altlinux.ru/mailman/listinfo/community
> > >
> > >
> > >
> >
>
>
> --
> WBR, Egor S. Orlov
> FST SPbSPU
--
WBR, Egor S. Orlov
FST SPbSPU
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [Comm] Iptables
2003-09-16 15:33 [Comm] Iptables Maxim Ivanov
2003-09-16 15:36 ` Maxim Ivanov
@ 2003-09-17 9:48 ` Alexey Borovskoy
1 sibling, 0 replies; 5+ messages in thread
From: Alexey Borovskoy @ 2003-09-17 9:48 UTC (permalink / raw)
To: community
* 17 Сентябрь 2003 04:33 Maxim Ivanov <ivanov@amos.ru>
Добрый вечер.
> Подскажите пожалуйста, поставил Squid с авторизацией,
> сверху повесил IPtables (вывод iptables -L в файле)
> заметил эксклюзивную картину: мы теперь пароля не спрашиваем,
> мы просто работаем в Инете....
> Как это получается - не понятно. Похоже, пакеты идут мимо
> сквида прямо на 80-й порт (их слушают на 3128). Но у меня явно
> не написано правило их перебрасывать.
>
> Вопрос такой: каковы минимально допустимые настройки защиты
> машины, на которой работает прокси с авторизацией (не
> прозрачной)? Уверен, что есть что-то похожее на "все
> запретить, разрешить вход по 3128 TCP и выход после работы
> локального процесса по 80". Это реально?
Из приложенного файла iptab.txt:
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
Угу. Пускаем кого угодно куда угодно. Непорядок.
--
Алексей.
JID:alb@jabber.ru.
^ permalink raw reply [flat|nested] 5+ messages in thread
end of thread, other threads:[~2003-09-17 9:48 UTC | newest]
Thread overview: 5+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2003-09-16 15:33 [Comm] Iptables Maxim Ivanov
2003-09-16 15:36 ` Maxim Ivanov
2003-09-16 17:33 ` Egor S. Orlov
2003-09-16 17:40 ` Egor S. Orlov
2003-09-17 9:48 ` Alexey Borovskoy
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git