[Comm] iptables: покритикуйте правила

Пт Май 14 09:53:41 MSD 2004

Eugene Prokopiev wrote:
> Alexey Morsov пишет:
> 
>>
>> Eugene Prokopiev wrote:
>>
>>> # Перенаправляем всех, кого надо, на squid
>>> for i in `/opt/scripts/make_ldap_filter.pl forceProxy`
>>> do
>>>     $IPTABLES -t nat -A PREROUTING -s $i -p TCP --dport 80 -j 
>>> REDIRECT --to-port 3128
>>> done
>>
>>
>> http only, т.е. все ftp, https, icq, irc_шки и потоковое мультимедиа 
>> идут мимо прокси...
>> Если устраивает - тады ой...
> 
> 
> буду добавлять
Чего? transparent proxy у squid-а только для http протокола... но 
может icq и загонишь, а вот ftp однозначно нет...
А что - так много машинок в офисе?
> 
>>>
>>> Нет ли каких-нибудь глупых ошибок?
>>>
>>
>> Глупых не вижу --- но от LOG в глазах темнеет... чем будете рулить 
>> статистику?
> 
> 
> для ULOG собрал ulog-acctd - аналог сизифовского ulogd, который умеет 
> делать только одно дело, но лучше чем ulogd
> 
> LOG - скорее всего обрежу потом еще сильнее, может когда загляну в 
> /var/log/messages да почитаю.
> 
ИМХО все эти LOG нужны (хороши и обязательны) в целях отладки - а 
в эксплуатации они ИМХО не оч. удобны... я лично просто сделал 
набор цепочек типа TCP_IN, TCP_OUT и загоняю соответствующие 
пакеты туда... а с них данных потом закидываю в mysql 
(ежеминутно)... очень симпатишно получаеться и точно... а 
прогулки юзеров по логам прокси наблюдаем...


-- 
Всего наилучшего,
Системный Администратор ЗАО "ИК "РИКОМ-ТРАСТ"
Алексей Морсов
http://www.ricom.ru
http://www.fondmarket.ru