[Comm] непонятки со squid

Andrew Fefilov =?iso-8859-1?q?faqa_=CE=C1_blok-caf=2Eru?=
Вт Ноя 18 14:02:42 MSK 2003 

Прошу прощение за назойливость, но речь идет о безопасности гейта со
стороны гадкого и мерзкого интернета :)
Я еще раз сегодня погуглил на эту тему, но ничего подобного не нашел. Это
мне говорит, что я чего то недопонимаю по сути. Еще раз прошу поделиться
сквидовых спецов, как они прикрывают этот udp порт (описано ниже).
Понятно, что можно закрыть iptables-ом, но, что-то мне подсказывает, что
за этим умеет следить сам сквид. Спасибо.

On Mon, Nov 17, 2003 at 04:24:30PM +0400, Andrew Fefilov wrote:
> Добрый день, уважаемые.
> 
> Вот довелось тут мне понастраивать squid на М2.2, и возникли у меня
> вопросы, которые сам разрешить не смог и которых не было во времена М2.0.
> Squid настраивается на гейтовом ящике, который одним концом смотрит в
> инет, а другим во внутренню локалку. Настраивается на обслуживание
> запросов только из локальной сети.
> Короче дело вот в этих строке из squid.conf :
> 
> udp_incoming_address 0.0.0.0
> 
> В коментариях конфига написано, что :
> 
> #    udp_incoming_address    is used for the ICP socket receiving
> packets from other caches.
> 
> Так. Мне это не нужно. Поэтому устанавливаю:
> 
> icp_port 0
> 
> отрывая тем самым, как мне кажется, вообще возможность общаться по ICP.
> Запускаю squid, затем netstat -pan --inet, вижу вот это:
> 
> udp        0      0 0.0.0.0:1027            0.0.0.0:*
> 1527/(squid)
> 
> Непонятно. Ладно, правлю squid.conf вот так:
> 
> udp_incoming_address 192.168.1.40
> 
> Т.е. заставляю слушать udp на внутреннем интерфейсе локалки.
> Поскольку DNS-сервер используется провайдерский, то этим отрывается нормальный
> резолвинг для squid, что делает его фактически неработоспособным.
> Что я упускаю? Чем грозит мне вариант конфига с "udp_incoming_address
> 0.0.0.0" с точки зрения безопасности? И почему, собственно, для того,
> чтобы отрезолвить имя сквиду надо держать постоянно открытый upd-порт?
> 
> -- 
> С уважением,
> Фефилов Андрей.
> _______________________________________________
> Community mailing list
> Community на altlinux.ru
> http://www.altlinux.ru/mailman/listinfo/community

-- 
С уважением,
Фефилов Андрей.

Подробная информация о списке рассылки community