From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <faqa@blok-caf.ru>
Date: Tue, 18 Nov 2003 15:02:42 +0400
From: Andrew Fefilov <faqa@blok-caf.ru>
To: community@altlinux.ru
Subject: Re: [Comm] =?koi8-r?B?zsXQz87R1MvJINM=?=
	=?koi8-r?Q?=CF?= squid
Message-ID: <20031118110242.GA6322@faa.lan.blok-caf.ru>
References: <20031117122430.GL3339@faa.lan.blok-caf.ru>
Mime-Version: 1.0
Content-Type: text/plain; charset=koi8-r
Content-Disposition: inline
Content-Transfer-Encoding: 8bit
In-Reply-To: <20031117122430.GL3339@faa.lan.blok-caf.ru>
X-BeenThere: community@altlinux.ru
X-Mailman-Version: 2.1.3
Precedence: list
Reply-To: community@altlinux.ru
List-Id: <community.altlinux.ru>
List-Unsubscribe: <listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=unsubscribe>
List-Archive: </pipermail/community>
List-Post: <mailto:community@altlinux.ru>
List-Help: <mailto:community-request@altlinux.ru?subject=help>
List-Subscribe: <listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=subscribe>
X-List-Received-Date: Tue, 18 Nov 2003 11:04:24 -0000
Archived-At: <http://lore.altlinux.org/community/20031118110242.GA6322@faa.lan.blok-caf.ru/>
List-Archive: <http://lore.altlinux.org/community/>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>

Прошу прощение за назойливость, но речь идет о безопасности гейта со
стороны гадкого и мерзкого интернета :)
Я еще раз сегодня погуглил на эту тему, но ничего подобного не нашел. Это
мне говорит, что я чего то недопонимаю по сути. Еще раз прошу поделиться
сквидовых спецов, как они прикрывают этот udp порт (описано ниже).
Понятно, что можно закрыть iptables-ом, но, что-то мне подсказывает, что
за этим умеет следить сам сквид. Спасибо.

On Mon, Nov 17, 2003 at 04:24:30PM +0400, Andrew Fefilov wrote:
> Добрый день, уважаемые.
> 
> Вот довелось тут мне понастраивать squid на М2.2, и возникли у меня
> вопросы, которые сам разрешить не смог и которых не было во времена М2.0.
> Squid настраивается на гейтовом ящике, который одним концом смотрит в
> инет, а другим во внутренню локалку. Настраивается на обслуживание
> запросов только из локальной сети.
> Короче дело вот в этих строке из squid.conf :
> 
> udp_incoming_address 0.0.0.0
> 
> В коментариях конфига написано, что :
> 
> #    udp_incoming_address    is used for the ICP socket receiving
> packets from other caches.
> 
> Так. Мне это не нужно. Поэтому устанавливаю:
> 
> icp_port 0
> 
> отрывая тем самым, как мне кажется, вообще возможность общаться по ICP.
> Запускаю squid, затем netstat -pan --inet, вижу вот это:
> 
> udp        0      0 0.0.0.0:1027            0.0.0.0:*
> 1527/(squid)
> 
> Непонятно. Ладно, правлю squid.conf вот так:
> 
> udp_incoming_address 192.168.1.40
> 
> Т.е. заставляю слушать udp на внутреннем интерфейсе локалки.
> Поскольку DNS-сервер используется провайдерский, то этим отрывается нормальный
> резолвинг для squid, что делает его фактически неработоспособным.
> Что я упускаю? Чем грозит мне вариант конфига с "udp_incoming_address
> 0.0.0.0" с точки зрения безопасности? И почему, собственно, для того,
> чтобы отрезолвить имя сквиду надо держать постоянно открытый upd-порт?
> 
> -- 
> С уважением,
> Фефилов Андрей.
> _______________________________________________
> Community mailing list
> Community@altlinux.ru
> http://www.altlinux.ru/mailman/listinfo/community

-- 
С уважением,
Фефилов Андрей.