From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <olvin@rambler.ru>
Message-ID: <43396038.7040700@rambler.ru>
Date: Tue, 27 Sep 2005 18:07:36 +0300
From: Olvin <olvin@rambler.ru>
User-Agent: Mozilla Thunderbird 0.6 (X11/20040511)
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: ALT Linux Community <community@altlinux.ru>
Subject: Re: =?KOI8-R?Q?=5BComm=5D=FA=C1=D0=D2=C5=D4_=D0=CF=CC=D8=DA=CF?=
	=?KOI8-R?Q?=D7=C1=CE=C9=D1_=D3=D4=CF=D2=CF=CE=CE=C9=CD=C9_=D0=D2=CF=CB?=
	=?KOI8-R?Q?=D3=D1=CD=C9=2E?=
References: <00cb01c5c372$78155840$0200a8c0@admin>	<200509271743.34006.nick.grechukh@bigmir.net>	<001f01c5c373$d0185c80$0200a8c0@admin>
	<200509271754.00028.nick.grechukh@bigmir.net>
In-Reply-To: <200509271754.00028.nick.grechukh@bigmir.net>
Content-Type: text/plain; charset=KOI8-R; format=flowed
Content-Transfer-Encoding: 8bit
X-Auth-User: olvin, whoson: (null)
X-BeenThere: community@altlinux.ru
X-Mailman-Version: 2.1.5
Precedence: list
Reply-To: ALT Linux Community <community@altlinux.ru>
List-Id: ALT Linux Community <community.altlinux.ru>
List-Unsubscribe: <https://lists.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=unsubscribe>
List-Archive: <http://lists.altlinux.ru/pipermail/community>
List-Post: <mailto:community@altlinux.ru>
List-Help: <mailto:community-request@altlinux.ru?subject=help>
List-Subscribe: <https://lists.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=subscribe>
X-List-Received-Date: Tue, 27 Sep 2005 15:08:42 -0000
Archived-At: <http://lore.altlinux.org/community/43396038.7040700@rambler.ru/>
List-Archive: <http://lore.altlinux.org/community/>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>

Nick S. Grechukh wrote:
>>>>Как запретить использование сторонних прокси на сервере, все
>>>>манипуляции на клиенте не рассматриваются.
>>>запретить прямое хождение и сделать непрозрачный прокси, юзерам
>>>разъяснить.
>>Надо именно на прозрачном прокси, каким то образом отсекать тех кто
>>настроил свой браузер на стороннюю проксю. Возможно acl ????
> afair проблема сводится к "как идентифицировать прокси по известным 
> hostname:port". проблема в общем случае нерешаемая.

iptables -P FORWARD DROP
iptables -A FORWARD -j ACCEPT -p tcp --dports разрешённый_порт.

Т.е. по умолчанию запретить ВСЕ dest-порты в транзитных пакетах, и потом 
открыть только явно указанные. Только тут много всяких подводных граблей.

Вот, лови, пригодится:

$IPTABLES -A FORWARD -m state --state INVALID -j DROP

$IPTABLES -A FORWARD -p icmp -s 10.1.0.0/16 -j ACCEPT
$IPTABLES -A FORWARD -p icmp -d 10.1.0.0/16 -m state --state RELATED -j 
ACCEPT
$IPTABLES -A FORWARD -p tcp -s 10.1.0.0/16 --dport 5190 -j ACCEPT 
# Jabber
$IPTABLES -A FORWARD -p tcp -s 10.1.0.0/16 --dport 6667 -j ACCEPT 
# IRC
$IPTABLES -A FORWARD -p udp -s 10.1.0.0/16 --dport 6667 -j ACCEPT 
# IRC
$IPTABLES -A FORWARD -p tcp -s 10.1.0.0/16 --dport 25 -j ACCEPT 
# SMTP
$IPTABLES -A FORWARD -p udp -s 10.1.0.0/16 --dport 25 -j ACCEPT 
# SMTP
$IPTABLES -A FORWARD -p tcp -s 10.1.0.0/16 --dport 465 -j ACCEPT 
# SMTPS
$IPTABLES -A FORWARD -p tcp -s 10.1.0.0/16 --dport 110 -j ACCEPT 
# POP3
$IPTABLES -A FORWARD -p udp -s 10.1.0.0/16 --dport 110 -j ACCEPT 
# POP3
$IPTABLES -A FORWARD -p tcp -s 10.1.0.0/16 --dport 995 -j ACCEPT 
# POP3S
$IPTABLES -A FORWARD -p udp -s 10.1.0.0/16 --dport 995 -j ACCEPT 
# POP3S
$IPTABLES -A FORWARD -p tcp -s 10.1.0.0/16 --dport 143 -j ACCEPT 
# IMAPv2(v4)
$IPTABLES -A FORWARD -p udp -s 10.1.0.0/16 --dport 143 -j ACCEPT 
# IMAPv2(v4)
$IPTABLES -A FORWARD -p tcp -s 10.1.0.0/16 --dport 993 -j ACCEPT 
# IMAPS
$IPTABLES -A FORWARD -p udp -s 10.1.0.0/16 --dport 993 -j ACCEPT 
# IMAPS
$IPTABLES -A FORWARD -p tcp -s 10.1.0.0/16 --dport 119 -j ACCEPT 
# NNTP
$IPTABLES -A FORWARD -p udp -s 10.1.0.0/16 --dport 119 -j ACCEPT 
# NNTP
$IPTABLES -A FORWARD -p tcp -s 10.1.0.0/16 --dport 563 -j ACCEPT 
# NNTPS
$IPTABLES -A FORWARD -p udp -s 10.1.0.0/16 --dport 563 -j ACCEPT 
# NNTPS
$IPTABLES -A FORWARD -p tcp -s 10.1.0.0/16 --dport 20 -j ACCEPT 
# FTP-DATA
$IPTABLES -A FORWARD -p udp -s 10.1.0.0/16 --dport 20 -j ACCEPT 
# FTP-DATA
$IPTABLES -A FORWARD -p tcp -s 10.1.0.0/16 --dport 21 -j ACCEPT 
# FTP-CTL
$IPTABLES -A FORWARD -p udp -s 10.1.0.0/16 --dport 21 -j ACCEPT 
# FTP-CTL
$IPTABLES -A FORWARD -p tcp -s 10.1.0.0/16 --dport 22 -j ACCEPT 
# SSH
$IPTABLES -A FORWARD -p udp -s 10.1.0.0/16 --dport 22 -j ACCEPT 
# SSH
$IPTABLES -A FORWARD -p tcp -s 10.1.0.0/16 --dport 23 -j ACCEPT 
# Telnet
$IPTABLES -A FORWARD -p udp -s 10.1.0.0/16 --dport 23 -j ACCEPT 
# Telnet
$IPTABLES -A FORWARD -p tcp -s 10.1.0.0/16 --dport 53 -j ACCEPT 
# Domain
$IPTABLES -A FORWARD -p udp -s 10.1.0.0/16 --dport 53 -j ACCEPT 
# Domain
$IPTABLES -A FORWARD -p tcp -s 10.1.0.0/16 --dport 443 -j ACCEPT 
# HTTPS
$IPTABLES -A FORWARD -p udp -s 10.1.0.0/16 --dport 443 -j ACCEPT 
# HTTPS
$IPTABLES -A FORWARD -p tcp -s 10.1.0.0/16 --dport 8080 -j ACCEPT 
# HTTP-alt.
$IPTABLES -A FORWARD -p udp -s 10.1.0.0/16 --dport 8080 -j ACCEPT 
# HTTP-alt.
$IPTABLES -A FORWARD -p tcp -s 10.1.0.0/16 --dport 33434 -j ACCEPT 
# Traceroute
$IPTABLES -A FORWARD -p udp -s 10.1.0.0/16 --dport 33434 -j ACCEPT 
# Traceroute
$IPTABLES -A FORWARD -p tcp -s 10.1.0.0/16 --dport 123 -j ACCEPT 
# NTP
$IPTABLES -A FORWARD -p udp -s 10.1.0.0/16 --dport 123 -j ACCEPT 
# NTP

$IPTABLES -A FORWARD -m state --state ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -p tcp --dport 1024:65535 -m state --state RELATED 
-j ACCEPT
$IPTABLES -A FORWARD -p udp --dport 1024:65535 -m state --state RELATED 
-j ACCEPT