From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Date: Tue, 18 Nov 2003 15:02:42 +0400 From: Andrew Fefilov To: community@altlinux.ru Subject: Re: [Comm] =?koi8-r?B?zsXQz87R1MvJINM=?= =?koi8-r?Q?=CF?= squid Message-ID: <20031118110242.GA6322@faa.lan.blok-caf.ru> References: <20031117122430.GL3339@faa.lan.blok-caf.ru> Mime-Version: 1.0 Content-Type: text/plain; charset=koi8-r Content-Disposition: inline Content-Transfer-Encoding: 8bit In-Reply-To: <20031117122430.GL3339@faa.lan.blok-caf.ru> X-BeenThere: community@altlinux.ru X-Mailman-Version: 2.1.3 Precedence: list Reply-To: community@altlinux.ru List-Id: List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Tue, 18 Nov 2003 11:04:24 -0000 Archived-At: List-Archive: List-Post: Прошу прощение за назойливость, но речь идет о безопасности гейта со стороны гадкого и мерзкого интернета :) Я еще раз сегодня погуглил на эту тему, но ничего подобного не нашел. Это мне говорит, что я чего то недопонимаю по сути. Еще раз прошу поделиться сквидовых спецов, как они прикрывают этот udp порт (описано ниже). Понятно, что можно закрыть iptables-ом, но, что-то мне подсказывает, что за этим умеет следить сам сквид. Спасибо. On Mon, Nov 17, 2003 at 04:24:30PM +0400, Andrew Fefilov wrote: > Добрый день, уважаемые. > > Вот довелось тут мне понастраивать squid на М2.2, и возникли у меня > вопросы, которые сам разрешить не смог и которых не было во времена М2.0. > Squid настраивается на гейтовом ящике, который одним концом смотрит в > инет, а другим во внутренню локалку. Настраивается на обслуживание > запросов только из локальной сети. > Короче дело вот в этих строке из squid.conf : > > udp_incoming_address 0.0.0.0 > > В коментариях конфига написано, что : > > # udp_incoming_address is used for the ICP socket receiving > packets from other caches. > > Так. Мне это не нужно. Поэтому устанавливаю: > > icp_port 0 > > отрывая тем самым, как мне кажется, вообще возможность общаться по ICP. > Запускаю squid, затем netstat -pan --inet, вижу вот это: > > udp 0 0 0.0.0.0:1027 0.0.0.0:* > 1527/(squid) > > Непонятно. Ладно, правлю squid.conf вот так: > > udp_incoming_address 192.168.1.40 > > Т.е. заставляю слушать udp на внутреннем интерфейсе локалки. > Поскольку DNS-сервер используется провайдерский, то этим отрывается нормальный > резолвинг для squid, что делает его фактически неработоспособным. > Что я упускаю? Чем грозит мне вариант конфига с "udp_incoming_address > 0.0.0.0" с точки зрения безопасности? И почему, собственно, для того, > чтобы отрезолвить имя сквиду надо держать постоянно открытый upd-порт? > > -- > С уважением, > Фефилов Андрей. > _______________________________________________ > Community mailing list > Community@altlinux.ru > http://www.altlinux.ru/mailman/listinfo/community -- С уважением, Фефилов Андрей.