From: "Владимир Гусев" <vova1971@narod.ru>
To: community@altlinux.ru
Subject: Re: [Comm] Squid из коробки Alt Linux Master 2.4
Date: Sat, 02 Apr 2005 19:10:21 +0400
Message-ID: <op.sol1rjlwglg102@post.cnt.ru> (raw)
In-Reply-To: <200504030133.24422.alexey_borovskoy@mail.ru>
>> >> -A PREROUTING -s 192.168.1.49 -d 192.168.1.100 -p tcp -m
>> >> tcp --dport 80 -j REDIRECT --to-ports 3128
>> >
>> > -A PREROUTING -s 192.168.1.100/32 -d ! 192.168.1.0/24 -p tcp
>> > -m tcp --dport 80 -j REDIRECT --to-ports 3128
>>
>> не объясните действие этой строки? В целом понятно, я насчет
>> 192.168.1.100/32 - почему именно так?
>
> Все пакеты протокола tcp,приходящие на порт 80 с адреса
> 192.168.1.100 и идущие мимо сети 192.168.1.0 с маской
> 255.255.255.0, заворачивать на порт 3128.
>
> Мне просто более понятнее адреса в формате CIDR.
>
> Пакеты в прокси начали заворачиватся или продолжают ходить мимо?
Предыдущий вопрос с содержанием своего squid.conf и iptables я задал еще
на работе. Потом, к концу вчерашнего рабочего дня я случайно запустил
service iptables status и увидел наглядно, что строка для INPUT (-A INPUT
-m state --state RELATED,ESTABLISHED -j ACCEPT) блокирует пакеты типа NEW
и изнутри (интерфейс конкретно ведь я не указал..) Я переделал, сделав две
строки
iptables -A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT -
для внешнего интерфейса
iptables -A INPUT -i eth1 -m state --state NEW,RELATED,ESTABLISHED -j
ACCEPT - для внутреннего интерфейса..
Видимо внутр. сеть просто не имела доступ к любому порту на шлюзе изнутри,
в том числе и к 3128.
Далее я убрал строку с разрешением доступа изнутри к порту 22 (SSH) и
сделал редирект с 80 (8080,8081) на 3128, как по мануалам разным.. судя по
моментально разросшемуся /var/log/squid/access.log вся сеть перешла на
squid.
НО, вечером дома принял ваши строки и задумался.. вроде бы тут они
выполняют двойную задачу и изящнее - тут и перенаправление с одновременным
исключением других путей.. Попробую..
И еще вопрос - насколько уязвим мой способ? Можно ли давать доступ к
портам к внутр. интерфесу шлюза?
Единственной строкой как-то исключающей возможность прикидываться членами
нашей локалки извне стала такая:
-A FORWARD -s 192.168.1.0/255.255.255.0 -i eth0 -j DROP
Проблемы несанкционированного доступа из локалки по SSH (кроме меня) нет..
После того как сквид заработал, я на себе ощутил работу "замедления
скорости":) и понял примерно, как это работает.. правда не совсем..
Не понял до конца про то, как лучше написать логику..
Например,
#задается вся сеть
acl postshop src 192.168.1.0/255.255.255.0
#задается группа лиц, имеющих полный и неогранич. доступ к инету
# НИГДЕ НЕ НАШЕЛ, как перечислять отдельные ip-адреса, не расположенные
#по порядку! Ниже - мое предположение...
acl admin src 192.168.1.1 192.168.1.3 192.168.1.49
***
#Задается время pshop для сети postshop
acl pshop time MTWHF 09:00-18:00
#Задается время adm для адресов admin
acl adm time MTWHFAS 00:01-23:59
#Тут, насколько я понял, количество delay_pools, честно говоря, #запутался
в этом всем..:( Вроде бы 2 - это класс сети (?).. 192.168.#1.0/24 - куда
попадает, в класс 2 ?
delay_pools 2
#с delay_class у меня еще хуже..первая цифра - это класс пула
# вторая цифра - это номер пула (какой номер, откуда берется..?)
delay_class 1 2
#тупо передрал.. :(
delay_parameters 1 -1/-1 -1/-1
#А тут раздача "слонов" - богу богово и т.д.
#Что здесь значит 2 ?
#достаточно будет одной строки? "Запретить сети postshop все время #кроме
диапазона pshop" и т.д.
delay_access 2 deny postshop !pshop
delay_access 2 deny admin !adm
Правильно ли тут что-нибудь? Просто правило "delay_access 2 deny postshop
!pshop" будет действовать и на группу admin.. Запутался..
P.S. Читал очень много материалов, http://squid.opennet.ru и
http://atmsk.altlinux.org.ua в том числе, наверное отсюда и каша в голове..
--
С уважением, Владимир Гусев
next prev parent reply other threads:[~2005-04-02 15:10 UTC|newest]
Thread overview: 15+ messages / expand[flat|nested] mbox.gz Atom feed top
2005-03-31 19:27 Владимир Гусев
2005-04-01 5:19 ` Mike Lykov
2005-04-01 6:01 ` Владимир Гусев
2005-04-01 6:24 ` Маркелов Александр
2005-04-01 11:39 ` Владимир Гусев
2005-04-01 13:30 ` Alexey Borovskoy
2005-04-02 10:10 ` Владимир Гусев
2005-04-02 12:33 ` Alexey Borovskoy
2005-04-02 15:10 ` Владимир Гусев [this message]
2005-04-03 13:08 ` Владимир Гусев
2005-04-04 2:17 ` Re[2]: " Беляев В. Н.
2005-04-04 5:16 ` Владимир Гусев
2005-04-01 10:45 ` Mike Lykov
2005-04-01 11:55 ` Владимир Гусев
2005-04-01 11:07 ` Andrey Rybak
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=op.sol1rjlwglg102@post.cnt.ru \
--to=vova1971@narod.ru \
--cc=community@altlinux.ru \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git