[Comm] squid

Пт Дек 19 14:55:01 MSK 2003

On Fri, 19 Dec 2003 14:13:20 +0300
Alexey Morsov <samurai на ricom.ru> wrote:

> 
> Да смысл вообщем-то в том, чтобы 1) не делать transparent proxy 
> 2) ограничить трафик сквидом (т.е. чтоб народ из сетки шлялся в 
> инет тока через сквид)
> 
> Насколько я понимаю, на одной машинке это реализовать нельзя? Или 
> можно? И вообще тут где-то проскакивало что на маршрутизаторе не 
> стоит ставить ничего кроме собственно системы

Нельзя, но если хочется, то можно. Предположим, что кроме http все отрубается.
Если на одной машине и шлюз и прокси, то рубим все порты, открываем только прокси для внутр. сетки
и http с нее наружу
Если разные, то
1. прокси внутри - не рекомендуется, рубим на шлюзе весь http кроме того, что идет с прокси
придется защищаться от подмены ip/arp
2. прокси в ДМЗ. На шлюзе рубим все, кроме запросов на прокси по "проксячьему" порту

пардон за сумбурность, мотаю на выходные!
Всем удачно отдохнуть и подготовиться к решительному штурму предпраздничной недели!!!

-- 
Немой мальчик жестами объяснил, что его зовут Хуан.
----------- следущая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : отсутствует
Тип     : application/pgp-signature
Размер  : 307 байтов
Описание: отсутствует
Url     : /pipermail/community/attachments/20031219/7bdb28a4/attachment.bin