From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: X-Comment: RFC 2476 MSA function at mx18.yandex.ru logged sender identity as: vova1971 Date: Sat, 02 Apr 2005 19:10:21 +0400 From: =?koi8-r?B?98zBxMnNydIg59XTxdc=?= To: community@altlinux.ru Subject: Re: =?koi8-r?B?W0NvbW1dIFNxdWlkIMnaIMvP0s/Cy8kgQWx0IExpbnV4IE1hc3RlciAyLjQ=?= References: <200504020230.26874.alexey_borovskoy@mail.ru> <200504030133.24422.alexey_borovskoy@mail.ru> Content-Type: text/plain; format=flowed; delsp=yes; charset=koi8-r MIME-Version: 1.0 Content-Transfer-Encoding: 8bit Message-ID: In-Reply-To: <200504030133.24422.alexey_borovskoy@mail.ru> User-Agent: Opera M2(BETA3)/8.0 (Linux, build 1019) X-BeenThere: community@altlinux.ru X-Mailman-Version: 2.1.5 Precedence: list Reply-To: community@altlinux.ru List-Id: Mailing list for ALT Linux users List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Sat, 02 Apr 2005 15:10:34 -0000 Archived-At: List-Archive: List-Post: >> >> -A PREROUTING -s 192.168.1.49 -d 192.168.1.100 -p tcp -m >> >> tcp --dport 80 -j REDIRECT --to-ports 3128 >> > >> > -A PREROUTING -s 192.168.1.100/32 -d ! 192.168.1.0/24 -p tcp >> > -m tcp --dport 80 -j REDIRECT --to-ports 3128 >> >> не объясните действие этой строки? В целом понятно, я насчет >> 192.168.1.100/32 - почему именно так? > > Все пакеты протокола tcp,приходящие на порт 80 с адреса > 192.168.1.100 и идущие мимо сети 192.168.1.0 с маской > 255.255.255.0, заворачивать на порт 3128. > > Мне просто более понятнее адреса в формате CIDR. > > Пакеты в прокси начали заворачиватся или продолжают ходить мимо? Предыдущий вопрос с содержанием своего squid.conf и iptables я задал еще на работе. Потом, к концу вчерашнего рабочего дня я случайно запустил service iptables status и увидел наглядно, что строка для INPUT (-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT) блокирует пакеты типа NEW и изнутри (интерфейс конкретно ведь я не указал..) Я переделал, сделав две строки iptables -A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT - для внешнего интерфейса iptables -A INPUT -i eth1 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT - для внутреннего интерфейса.. Видимо внутр. сеть просто не имела доступ к любому порту на шлюзе изнутри, в том числе и к 3128. Далее я убрал строку с разрешением доступа изнутри к порту 22 (SSH) и сделал редирект с 80 (8080,8081) на 3128, как по мануалам разным.. судя по моментально разросшемуся /var/log/squid/access.log вся сеть перешла на squid. НО, вечером дома принял ваши строки и задумался.. вроде бы тут они выполняют двойную задачу и изящнее - тут и перенаправление с одновременным исключением других путей.. Попробую.. И еще вопрос - насколько уязвим мой способ? Можно ли давать доступ к портам к внутр. интерфесу шлюза? Единственной строкой как-то исключающей возможность прикидываться членами нашей локалки извне стала такая: -A FORWARD -s 192.168.1.0/255.255.255.0 -i eth0 -j DROP Проблемы несанкционированного доступа из локалки по SSH (кроме меня) нет.. После того как сквид заработал, я на себе ощутил работу "замедления скорости":) и понял примерно, как это работает.. правда не совсем.. Не понял до конца про то, как лучше написать логику.. Например, #задается вся сеть acl postshop src 192.168.1.0/255.255.255.0 #задается группа лиц, имеющих полный и неогранич. доступ к инету # НИГДЕ НЕ НАШЕЛ, как перечислять отдельные ip-адреса, не расположенные #по порядку! Ниже - мое предположение... acl admin src 192.168.1.1 192.168.1.3 192.168.1.49 *** #Задается время pshop для сети postshop acl pshop time MTWHF 09:00-18:00 #Задается время adm для адресов admin acl adm time MTWHFAS 00:01-23:59 #Тут, насколько я понял, количество delay_pools, честно говоря, #запутался в этом всем..:( Вроде бы 2 - это класс сети (?).. 192.168.#1.0/24 - куда попадает, в класс 2 ? delay_pools 2 #с delay_class у меня еще хуже..первая цифра - это класс пула # вторая цифра - это номер пула (какой номер, откуда берется..?) delay_class 1 2 #тупо передрал.. :( delay_parameters 1 -1/-1 -1/-1 #А тут раздача "слонов" - богу богово и т.д. #Что здесь значит 2 ? #достаточно будет одной строки? "Запретить сети postshop все время #кроме диапазона pshop" и т.д. delay_access 2 deny postshop !pshop delay_access 2 deny admin !adm Правильно ли тут что-нибудь? Просто правило "delay_access 2 deny postshop !pshop" будет действовать и на группу admin.. Запутался.. P.S. Читал очень много материалов, http://squid.opennet.ru и http://atmsk.altlinux.org.ua в том числе, наверное отсюда и каша в голове.. -- С уважением, Владимир Гусев