ALT Linux Community general discussions
 help / color / mirror / Atom feed
* [Comm] Iptables
@ 2003-09-16 15:33 Maxim Ivanov
  2003-09-16 15:36 ` Maxim Ivanov
  2003-09-17  9:48 ` Alexey Borovskoy
  0 siblings, 2 replies; 5+ messages in thread
From: Maxim Ivanov @ 2003-09-16 15:33 UTC (permalink / raw)
  To: community

Подскажите пожалуйста, поставил Squid с авторизацией,
сверху повесил IPtables (вывод iptables -L в файле)
заметил эксклюзивную картину: мы теперь пароля не спрашиваем, мы просто
работаем в Инете....
Как это получается - не понятно. Похоже, пакеты идут мимо сквида прямо
на 80-й порт (их слушают на 3128). Но у меня явно не написано правило их
перебрасывать.

Вопрос такой: каковы минимально допустимые настройки защиты машины, на
которой работает прокси с авторизацией (не прозрачной)?
Уверен, что есть что-то похожее на "все запретить, разрешить вход по
3128 TCP и выход после работы локального процесса по 80". 
Это реально?




^ permalink raw reply	[flat|nested] 5+ messages in thread

* Re: [Comm] Iptables
  2003-09-16 15:33 [Comm] Iptables Maxim Ivanov
@ 2003-09-16 15:36 ` Maxim Ivanov
  2003-09-16 17:33   ` Egor S. Orlov
  2003-09-17  9:48 ` Alexey Borovskoy
  1 sibling, 1 reply; 5+ messages in thread
From: Maxim Ivanov @ 2003-09-16 15:36 UTC (permalink / raw)
  To: community

[-- Attachment #1: Type: text/plain, Size: 918 bytes --]

Забыл файлик положить...

On Tue, 16 Sep 2003 19:33:49 +0400
Maxim Ivanov <ivanov@amos.ru> wrote:

> Подскажите пожалуйста, поставил Squid с авторизацией,
> сверху повесил IPtables (вывод iptables -L в файле)
> заметил эксклюзивную картину: мы теперь пароля не спрашиваем, мы
> просто работаем в Инете....
> Как это получается - не понятно. Похоже, пакеты идут мимо сквида прямо
> на 80-й порт (их слушают на 3128). Но у меня явно не написано правило
> их перебрасывать.
> 
> Вопрос такой: каковы минимально допустимые настройки защиты машины, на
> которой работает прокси с авторизацией (не прозрачной)?
> Уверен, что есть что-то похожее на "все запретить, разрешить вход по
> 3128 TCP и выход после работы локального процесса по 80". 
> Это реально?
> 
> 
> _______________________________________________
> Community mailing list
> Community@altlinux.ru
> http://www.altlinux.ru/mailman/listinfo/community
> 
> 
> 

[-- Attachment #2: iptab.txt --]
[-- Type: text/plain, Size: 6005 bytes --]

Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere           
bad_packets  all  --  anywhere             anywhere           
DROP       all  --  anywhere             ALL-SYSTEMS.MCAST.NET
ACCEPT     all  --  192.168.1.0/24       anywhere           
ACCEPT     all  --  anywhere             192.168.1.255      
ACCEPT     all  --  anywhere             anywhere           state RELATED,ESTABLISHED 
tcp_inbound  tcp  --  anywhere             anywhere           
udp_inbound  udp  --  anywhere             anywhere           
icmp_packets  icmp --  anywhere             anywhere           
DROP       all  --  anywhere             255.255.255.255    
LOG        all  --  anywhere             anywhere           limit: avg 3/min burst 3 LOG level warning prefix `INPUT packet died: ' 

Chain FORWARD (policy DROP)
target     prot opt source               destination         
bad_packets  all  --  anywhere             anywhere           
tcp_outbound  tcp  --  anywhere             anywhere           
udp_outbound  udp  --  anywhere             anywhere           
ACCEPT     all  --  anywhere             anywhere           
ACCEPT     all  --  anywhere             anywhere           state RELATED,ESTABLISHED 
LOG        all  --  anywhere             anywhere           limit: avg 3/min burst 3 LOG level warning prefix `FORWARD packet died: ' 

Chain OUTPUT (policy DROP)
target     prot opt source               destination         
DROP       icmp --  anywhere             anywhere           state INVALID 
ACCEPT     all  --  localhost.localdomain  anywhere           
ACCEPT     all  --  anywhere             anywhere           
ACCEPT     all  --  Administrator.server2000.amos  anywhere           
ACCEPT     all  --  anywhere             anywhere           
ACCEPT     all  --  anywhere             anywhere           
LOG        all  --  anywhere             anywhere           limit: avg 3/min burst 3 LOG level warning prefix `OUTPUT packet died: ' 

Chain bad_packets (2 references)
target     prot opt source               destination         
LOG        all  --  anywhere             anywhere           state INVALID LOG level warning prefix `Invalid packet: ' 
DROP       all  --  anywhere             anywhere           state INVALID 
bad_tcp_packets  tcp  --  anywhere             anywhere           
RETURN     all  --  anywhere             anywhere           

Chain bad_tcp_packets (1 references)
target     prot opt source               destination         
RETURN     tcp  --  anywhere             anywhere           
LOG        tcp  --  anywhere             anywhere           tcp flags:!SYN,RST,ACK/SYN state NEW LOG level warning prefix `New not syn: ' 
DROP       tcp  --  anywhere             anywhere           tcp flags:!SYN,RST,ACK/SYN state NEW 
RETURN     tcp  --  anywhere             anywhere           

Chain icmp_packets (1 references)
target     prot opt source               destination         
LOG        icmp -f  anywhere             anywhere           LOG level warning prefix `ICMP Fragment: ' 
DROP       icmp -f  anywhere             anywhere           
ACCEPT     icmp --  anywhere             anywhere           icmp time-exceeded 
RETURN     icmp --  anywhere             anywhere           

Chain tcp_inbound (1 references)
target     prot opt source               destination         
ACCEPT     tcp  --  anywhere             anywhere           tcp dpt:http 
ACCEPT     tcp  --  anywhere             anywhere           tcp dpt:webcache 
ACCEPT     tcp  --  anywhere             anywhere           tcp dpt:https 
ACCEPT     tcp  --  anywhere             anywhere           tcp dpt:ftp 
ACCEPT     tcp  --  anywhere             anywhere           tcp spt:ftp-data 
ACCEPT     tcp  --  anywhere             anywhere           tcp dpts:62000:64000 
ACCEPT     tcp  --  anywhere             anywhere           tcp dpt:ssh 
ACCEPT     tcp  --  anywhere             anywhere           tcp dpts:5000:5100 
ACCEPT     tcp  --  anywhere             anywhere           tcp dpt:squid 
RETURN     tcp  --  anywhere             anywhere           

Chain tcp_outbound (1 references)
target     prot opt source               destination         
ACCEPT     tcp  --  anywhere             anywhere           tcp dpt:http 
REJECT     tcp  --  anywhere             anywhere           tcp dpt:irc reject-with icmp-port-unreachable 
REJECT     tcp  --  anywhere             anywhere           tcp dpt:telnet reject-with icmp-port-unreachable 
REJECT     tcp  --  anywhere             anywhere           tcp dpt:nntp reject-with icmp-port-unreachable 
REJECT     tcp  --  anywhere             anywhere           tcp dpt:4443 reject-with icmp-port-unreachable 
REJECT     tcp  --  anywhere             anywhere           tcp dpt:1863 reject-with icmp-port-unreachable 
REJECT     tcp  --  anywhere             anywhere           tcp dpt:smtp reject-with icmp-port-unreachable 
REJECT     tcp  --  anywhere             anywhere           tcp dpt:pop3 reject-with icmp-port-unreachable 
REJECT     tcp  --  anywhere             anywhere           tcp dpt:imap reject-with icmp-port-unreachable 
ACCEPT     tcp  --  anywhere             anywhere           

Chain udp_inbound (1 references)
target     prot opt source               destination         
DROP       udp  --  anywhere             anywhere           udp dpt:netbios-ns 
DROP       udp  --  anywhere             anywhere           udp dpt:netbios-dgm 
ACCEPT     udp  --  anywhere             anywhere           udp dpt:domain 
ACCEPT     udp  --  anywhere             anywhere           udp dpt:3128 
RETURN     udp  --  anywhere             anywhere           

Chain udp_outbound (1 references)
target     prot opt source               destination         
REJECT     udp  --  anywhere             anywhere           udp dpt:4000 reject-with icmp-port-unreachable 
ACCEPT     udp  --  anywhere             anywhere           

^ permalink raw reply	[flat|nested] 5+ messages in thread

* Re: [Comm] Iptables
  2003-09-16 15:36 ` Maxim Ivanov
@ 2003-09-16 17:33   ` Egor S. Orlov
  2003-09-16 17:40     ` Egor S. Orlov
  0 siblings, 1 reply; 5+ messages in thread
From: Egor S. Orlov @ 2003-09-16 17:33 UTC (permalink / raw)
  To: community

[-- Attachment #1: Type: text/plain, Size: 1170 bytes --]

On Tue, 16 Sep 2003 19:36:31 +0400
Maxim Ivanov <ivanov@amos.ru> wrote:

> Забыл файлик положить...

А если вывод 
iptable -t nat -L посмотреть?

> 
> On Tue, 16 Sep 2003 19:33:49 +0400
> Maxim Ivanov <ivanov@amos.ru> wrote:
> 
> > Подскажите пожалуйста, поставил Squid с авторизацией,
> > сверху повесил IPtables (вывод iptables -L в файле)
> > заметил эксклюзивную картину: мы теперь пароля не спрашиваем, мы
> > просто работаем в Инете....
> > Как это получается - не понятно. Похоже, пакеты идут мимо сквида прямо
> > на 80-й порт (их слушают на 3128). Но у меня явно не написано правило
> > их перебрасывать.
> > 
> > Вопрос такой: каковы минимально допустимые настройки защиты машины, на
> > которой работает прокси с авторизацией (не прозрачной)?
> > Уверен, что есть что-то похожее на "все запретить, разрешить вход по
> > 3128 TCP и выход после работы локального процесса по 80". 
> > Это реально?
> > 
> > 
> > _______________________________________________
> > Community mailing list
> > Community@altlinux.ru
> > http://www.altlinux.ru/mailman/listinfo/community
> > 
> > 
> > 
> 


-- 
WBR, Egor S. Orlov
FST SPbSPU

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

^ permalink raw reply	[flat|nested] 5+ messages in thread

* Re: [Comm] Iptables
  2003-09-16 17:33   ` Egor S. Orlov
@ 2003-09-16 17:40     ` Egor S. Orlov
  0 siblings, 0 replies; 5+ messages in thread
From: Egor S. Orlov @ 2003-09-16 17:40 UTC (permalink / raw)
  To: community

[-- Attachment #1: Type: text/plain, Size: 1421 bytes --]

On Tue, 16 Sep 2003 21:33:19 +0400
"Egor S. Orlov" <Egor.Orlov@avalon.ru> wrote:

> On Tue, 16 Sep 2003 19:36:31 +0400
> Maxim Ivanov <ivanov@amos.ru> wrote:
> 
> > Забыл файлик положить...
> 
> А если вывод 
> iptable -t nat -L посмотреть?

сорри
iptables -t nat -L
конечно же


> 
> > 
> > On Tue, 16 Sep 2003 19:33:49 +0400
> > Maxim Ivanov <ivanov@amos.ru> wrote:
> > 
> > > Подскажите пожалуйста, поставил Squid с авторизацией,
> > > сверху повесил IPtables (вывод iptables -L в файле)
> > > заметил эксклюзивную картину: мы теперь пароля не спрашиваем, мы
> > > просто работаем в Инете....
> > > Как это получается - не понятно. Похоже, пакеты идут мимо сквида прямо
> > > на 80-й порт (их слушают на 3128). Но у меня явно не написано правило
> > > их перебрасывать.
> > > 
> > > Вопрос такой: каковы минимально допустимые настройки защиты машины, на
> > > которой работает прокси с авторизацией (не прозрачной)?
> > > Уверен, что есть что-то похожее на "все запретить, разрешить вход по
> > > 3128 TCP и выход после работы локального процесса по 80". 
> > > Это реально?
> > > 
> > > 
> > > _______________________________________________
> > > Community mailing list
> > > Community@altlinux.ru
> > > http://www.altlinux.ru/mailman/listinfo/community
> > > 
> > > 
> > > 
> > 
> 
> 
> -- 
> WBR, Egor S. Orlov
> FST SPbSPU


-- 
WBR, Egor S. Orlov
FST SPbSPU

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

^ permalink raw reply	[flat|nested] 5+ messages in thread

* Re: [Comm] Iptables
  2003-09-16 15:33 [Comm] Iptables Maxim Ivanov
  2003-09-16 15:36 ` Maxim Ivanov
@ 2003-09-17  9:48 ` Alexey Borovskoy
  1 sibling, 0 replies; 5+ messages in thread
From: Alexey Borovskoy @ 2003-09-17  9:48 UTC (permalink / raw)
  To: community

* 17 Сентябрь 2003 04:33 Maxim Ivanov <ivanov@amos.ru>

Добрый вечер.

> Подскажите пожалуйста, поставил Squid с авторизацией,
> сверху повесил IPtables (вывод iptables -L в файле)
> заметил эксклюзивную картину: мы теперь пароля не спрашиваем,
> мы просто работаем в Инете....
> Как это получается - не понятно. Похоже, пакеты идут мимо
> сквида прямо на 80-й порт (их слушают на 3128). Но у меня явно
> не написано правило их перебрасывать.
>
> Вопрос такой: каковы минимально допустимые настройки защиты
> машины, на которой работает прокси с авторизацией (не
> прозрачной)? Уверен, что есть что-то похожее на "все
> запретить, разрешить вход по 3128 TCP и выход после работы
> локального процесса по 80". Это реально?

Из приложенного файла iptab.txt:

Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere  

Угу. Пускаем кого угодно куда угодно. Непорядок.

-- 
Алексей.
JID:alb@jabber.ru.


^ permalink raw reply	[flat|nested] 5+ messages in thread

end of thread, other threads:[~2003-09-17  9:48 UTC | newest]

Thread overview: 5+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2003-09-16 15:33 [Comm] Iptables Maxim Ivanov
2003-09-16 15:36 ` Maxim Ivanov
2003-09-16 17:33   ` Egor S. Orlov
2003-09-16 17:40     ` Egor S. Orlov
2003-09-17  9:48 ` Alexey Borovskoy

ALT Linux Community general discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
		mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
	public-inbox-index community

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.community


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git