[Comm] Re: Linux Gate

Чт Ноя 27 06:02:51 MSK 2003

On Wed, Nov 26, 2003 at 06:02:51PM +0300, Alexey Morsov wrote:

 > | Тогда лучше всего сделать так:
 > |  - извне разрешить все пакеты по уже установленым соединениям
 > Не понял что вы имеет ввиду... 8-\

iptables умеет отслеживать установленые соединения, и пропускать пакеты,
если они относятся к установленому соединению. Это позволяет, например,
ftp прекрасно работать через файрвол.

man iptables
/--state

 >| NAT адреса переделает.
 > Ну да - а разве SNAT target не для того чтоб сетку по одному
 > реальному ip в инет вывести?

Да, для этого.

 > |  > |  > 4. Заводим все http, ftp и  https запросы пользователй на
 > |  > прокси.
 > |  > | С ftp, AFAIK, малореально, да и ненужно чаще всего. Пусть
 > лучше
 > |  > через NAT
 > |  > | ходят. Или нужно журналировать все посещения?
 > |  > Да заводить пожалуй не надо - просто я думаю надо настроить
 > |  > iptables так чтобы онно запрещало доступ мимо прокис а прокси
 > |  > прописывать явно...
 > |
 > | Для ftp это траффик вряд ли сэкономит, а вот место в кэше
 > займёт. Зачем?
 > Ну тут согласен - кэшировать с ftp конечно не нужно - но в
 > статистику запыжывать нать - чтоб мерить сколько юзер качает...
 > Илил это можно сделать как-то еще (помимо прокси) - но как не
 > хочется собирать всю статистику  с разных углов...

Собирать её надо с одного угла -- файрвола. На opennet.ru на эту тему море
статей с готовыми решениями.

-- 
С уважением, Денис

http://freesource.info