From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <vova1971@narod.ru>
X-Comment: RFC 2476 MSA function at mx18.yandex.ru logged sender identity as:
	vova1971
Date: Sat, 02 Apr 2005 19:10:21 +0400
From: =?koi8-r?B?98zBxMnNydIg59XTxdc=?= <vova1971@narod.ru>
To: community@altlinux.ru
Subject: Re: =?koi8-r?B?W0NvbW1dIFNxdWlkIMnaIMvP0s/Cy8kgQWx0IExpbnV4IE1hc3RlciAyLjQ=?=
References: <op.soiobpr2glg102@post.cnt.ru>
	<200504020230.26874.alexey_borovskoy@mail.ru>
	<op.solnvb1oglg102@post.cnt.ru>
	<200504030133.24422.alexey_borovskoy@mail.ru>
Content-Type: text/plain; format=flowed; delsp=yes; charset=koi8-r
MIME-Version: 1.0
Content-Transfer-Encoding: 8bit
Message-ID: <op.sol1rjlwglg102@post.cnt.ru>
In-Reply-To: <200504030133.24422.alexey_borovskoy@mail.ru>
User-Agent: Opera M2(BETA3)/8.0 (Linux, build 1019)
X-BeenThere: community@altlinux.ru
X-Mailman-Version: 2.1.5
Precedence: list
Reply-To: community@altlinux.ru
List-Id: Mailing list for ALT Linux users <community.altlinux.ru>
List-Unsubscribe: <https://lists.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=unsubscribe>
List-Archive: <http://lists.altlinux.ru/pipermail/community>
List-Post: <mailto:community@altlinux.ru>
List-Help: <mailto:community-request@altlinux.ru?subject=help>
List-Subscribe: <https://lists.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=subscribe>
X-List-Received-Date: Sat, 02 Apr 2005 15:10:34 -0000
Archived-At: <http://lore.altlinux.org/community/op.sol1rjlwglg102@post.cnt.ru/>
List-Archive: <http://lore.altlinux.org/community/>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>

>> >> -A PREROUTING -s 192.168.1.49 -d 192.168.1.100 -p tcp -m
>> >> tcp --dport 80 -j REDIRECT --to-ports 3128
>> >
>> > -A PREROUTING -s 192.168.1.100/32 -d ! 192.168.1.0/24 -p tcp
>> > -m tcp --dport 80 -j REDIRECT --to-ports 3128
>>
>> не объясните действие этой строки? В целом понятно, я насчет
>> 192.168.1.100/32 - почему именно так?
>
> Все пакеты протокола tcp,приходящие на порт 80 с адреса
> 192.168.1.100 и идущие мимо сети 192.168.1.0 с маской
> 255.255.255.0, заворачивать на порт 3128.
>
> Мне просто более понятнее адреса в формате CIDR.
>
> Пакеты в прокси начали заворачиватся или продолжают ходить мимо?

Предыдущий вопрос с содержанием своего squid.conf и iptables я задал еще  
на работе. Потом, к концу вчерашнего рабочего дня я случайно запустил  
service iptables status  и увидел наглядно, что строка для INPUT (-A INPUT  
-m state --state RELATED,ESTABLISHED -j ACCEPT) блокирует пакеты типа NEW  
и изнутри (интерфейс конкретно ведь я не указал..) Я переделал, сделав две  
строки

iptables -A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT -  
для внешнего интерфейса
iptables -A INPUT -i eth1 -m state --state NEW,RELATED,ESTABLISHED -j  
ACCEPT - для внутреннего интерфейса..
Видимо внутр. сеть просто не имела доступ к любому порту на шлюзе изнутри,  
в том числе и к 3128.
Далее я убрал строку с разрешением доступа изнутри к порту 22 (SSH) и  
сделал редирект с 80 (8080,8081) на 3128, как по мануалам разным.. судя по  
моментально разросшемуся /var/log/squid/access.log вся сеть перешла на  
squid.
НО, вечером дома принял ваши строки и задумался.. вроде бы тут они  
выполняют двойную задачу и изящнее - тут и перенаправление с одновременным  
исключением других путей.. Попробую..

И еще вопрос - насколько уязвим мой способ? Можно ли давать доступ к  
портам к внутр. интерфесу шлюза?
Единственной строкой как-то исключающей возможность прикидываться членами  
нашей локалки извне стала такая:
-A FORWARD -s 192.168.1.0/255.255.255.0 -i eth0 -j DROP

Проблемы несанкционированного доступа из локалки по SSH (кроме меня) нет..

После того как сквид заработал, я на себе ощутил работу "замедления  
скорости":) и понял примерно, как это работает.. правда не совсем..
Не понял до конца про то, как лучше написать логику..
Например,

#задается вся сеть
acl postshop src 192.168.1.0/255.255.255.0
#задается группа лиц, имеющих полный и неогранич. доступ к инету
# НИГДЕ НЕ НАШЕЛ, как перечислять отдельные ip-адреса, не расположенные  
#по порядку! Ниже  - мое предположение...
acl admin src 192.168.1.1 192.168.1.3 192.168.1.49

***
#Задается время pshop для сети postshop
acl pshop time MTWHF 09:00-18:00
#Задается время adm для адресов admin
acl adm time MTWHFAS 00:01-23:59
#Тут, насколько я понял, количество delay_pools, честно говоря, #запутался  
в этом всем..:(  Вроде бы 2 - это класс сети (?).. 192.168.#1.0/24 - куда  
попадает, в класс 2 ?

delay_pools 2

#с delay_class у меня еще хуже..первая цифра - это класс пула
# вторая цифра - это номер пула (какой номер, откуда берется..?)
delay_class 1 2

#тупо передрал.. :(
delay_parameters 1 -1/-1 -1/-1

#А тут раздача "слонов" - богу богово и т.д.
#Что здесь значит 2 ?
#достаточно будет одной строки? "Запретить сети postshop все время #кроме  
диапазона pshop" и т.д.

delay_access 2 deny postshop !pshop
delay_access 2 deny admin !adm

Правильно ли тут что-нибудь? Просто правило "delay_access 2 deny postshop  
!pshop" будет действовать и на группу admin.. Запутался..

P.S. Читал очень много материалов, http://squid.opennet.ru и  
http://atmsk.altlinux.org.ua в том числе, наверное отсюда и каша в голове..


-- 
С уважением, Владимир Гусев