From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <mithraen@freesource.info>
Date: Thu, 27 Nov 2003 06:02:51 +0300
From: =?koi8-r?B?5MXOydMg883J0s7P1w==?= <mithraen@freesource.info>
To: community@altlinux.ru
Message-ID: <20031127030251.GF30675@localhost.localdomain>
References: <3FC34DE5.90405@ricom.ru>
	<20031126075223.GC11169@localhost.localdomain>
	<3FC47526.1050302@ricom.ru>
	<20031126125615.GB25325@localhost.localdomain>
	<3FC4C09B.7000903@ricom.ru>
Mime-Version: 1.0
Content-Type: text/plain; charset=koi8-r
Content-Disposition: inline
Content-Transfer-Encoding: 8bit
In-Reply-To: <3FC4C09B.7000903@ricom.ru>
Subject: [Comm] Re: Linux Gate
X-BeenThere: community@altlinux.ru
X-Mailman-Version: 2.1.3
Precedence: list
Reply-To: community@altlinux.ru
List-Id: <community.altlinux.ru>
List-Unsubscribe: <listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=unsubscribe>
List-Archive: </pipermail/community>
List-Post: <mailto:community@altlinux.ru>
List-Help: <mailto:community-request@altlinux.ru?subject=help>
List-Subscribe: <listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=subscribe>
X-List-Received-Date: Thu, 27 Nov 2003 03:03:01 -0000
Archived-At: <http://lore.altlinux.org/community/20031127030251.GF30675@localhost.localdomain/>
List-Archive: <http://lore.altlinux.org/community/>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>

On Wed, Nov 26, 2003 at 06:02:51PM +0300, Alexey Morsov wrote:

 > | Тогда лучше всего сделать так:
 > |  - извне разрешить все пакеты по уже установленым соединениям
 > Не понял что вы имеет ввиду... 8-\

iptables умеет отслеживать установленые соединения, и пропускать пакеты,
если они относятся к установленому соединению. Это позволяет, например,
ftp прекрасно работать через файрвол.

man iptables
/--state
 
 >| NAT адреса переделает.
 > Ну да - а разве SNAT target не для того чтоб сетку по одному
 > реальному ip в инет вывести?

Да, для этого.
 
 > |  > |  > 4. Заводим все http, ftp и  https запросы пользователй на
 > |  > прокси.
 > |  > | С ftp, AFAIK, малореально, да и ненужно чаще всего. Пусть
 > лучше
 > |  > через NAT
 > |  > | ходят. Или нужно журналировать все посещения?
 > |  > Да заводить пожалуй не надо - просто я думаю надо настроить
 > |  > iptables так чтобы онно запрещало доступ мимо прокис а прокси
 > |  > прописывать явно...
 > |
 > | Для ftp это траффик вряд ли сэкономит, а вот место в кэше
 > займёт. Зачем?
 > Ну тут согласен - кэшировать с ftp конечно не нужно - но в
 > статистику запыжывать нать - чтоб мерить сколько юзер качает...
 > Илил это можно сделать как-то еще (помимо прокси) - но как не
 > хочется собирать всю статистику  с разных углов...

Собирать её надо с одного угла -- файрвола. На opennet.ru на эту тему море
статей с готовыми решениями.
 
-- 
С уважением, Денис

http://freesource.info