[Comm] Squid из коробки Alt Linux Master 2.4
Владимир Гусев
=?iso-8859-1?q?vova1971_=CE=C1_narod=2Eru?=
Сб Апр 2 19:10:21 MSD 2005
>> >> -A PREROUTING -s 192.168.1.49 -d 192.168.1.100 -p tcp -m
>> >> tcp --dport 80 -j REDIRECT --to-ports 3128
>> >
>> > -A PREROUTING -s 192.168.1.100/32 -d ! 192.168.1.0/24 -p tcp
>> > -m tcp --dport 80 -j REDIRECT --to-ports 3128
>>
>> не объясните действие этой строки? В целом понятно, я насчет
>> 192.168.1.100/32 - почему именно так?
>
> Все пакеты протокола tcp,приходящие на порт 80 с адреса
> 192.168.1.100 и идущие мимо сети 192.168.1.0 с маской
> 255.255.255.0, заворачивать на порт 3128.
>
> Мне просто более понятнее адреса в формате CIDR.
>
> Пакеты в прокси начали заворачиватся или продолжают ходить мимо?
Предыдущий вопрос с содержанием своего squid.conf и iptables я задал еще
на работе. Потом, к концу вчерашнего рабочего дня я случайно запустил
service iptables status и увидел наглядно, что строка для INPUT (-A INPUT
-m state --state RELATED,ESTABLISHED -j ACCEPT) блокирует пакеты типа NEW
и изнутри (интерфейс конкретно ведь я не указал..) Я переделал, сделав две
строки
iptables -A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT -
для внешнего интерфейса
iptables -A INPUT -i eth1 -m state --state NEW,RELATED,ESTABLISHED -j
ACCEPT - для внутреннего интерфейса..
Видимо внутр. сеть просто не имела доступ к любому порту на шлюзе изнутри,
в том числе и к 3128.
Далее я убрал строку с разрешением доступа изнутри к порту 22 (SSH) и
сделал редирект с 80 (8080,8081) на 3128, как по мануалам разным.. судя по
моментально разросшемуся /var/log/squid/access.log вся сеть перешла на
squid.
НО, вечером дома принял ваши строки и задумался.. вроде бы тут они
выполняют двойную задачу и изящнее - тут и перенаправление с одновременным
исключением других путей.. Попробую..
И еще вопрос - насколько уязвим мой способ? Можно ли давать доступ к
портам к внутр. интерфесу шлюза?
Единственной строкой как-то исключающей возможность прикидываться членами
нашей локалки извне стала такая:
-A FORWARD -s 192.168.1.0/255.255.255.0 -i eth0 -j DROP
Проблемы несанкционированного доступа из локалки по SSH (кроме меня) нет..
После того как сквид заработал, я на себе ощутил работу "замедления
скорости":) и понял примерно, как это работает.. правда не совсем..
Не понял до конца про то, как лучше написать логику..
Например,
#задается вся сеть
acl postshop src 192.168.1.0/255.255.255.0
#задается группа лиц, имеющих полный и неогранич. доступ к инету
# НИГДЕ НЕ НАШЕЛ, как перечислять отдельные ip-адреса, не расположенные
#по порядку! Ниже - мое предположение...
acl admin src 192.168.1.1 192.168.1.3 192.168.1.49
***
#Задается время pshop для сети postshop
acl pshop time MTWHF 09:00-18:00
#Задается время adm для адресов admin
acl adm time MTWHFAS 00:01-23:59
#Тут, насколько я понял, количество delay_pools, честно говоря, #запутался
в этом всем..:( Вроде бы 2 - это класс сети (?).. 192.168.#1.0/24 - куда
попадает, в класс 2 ?
delay_pools 2
#с delay_class у меня еще хуже..первая цифра - это класс пула
# вторая цифра - это номер пула (какой номер, откуда берется..?)
delay_class 1 2
#тупо передрал.. :(
delay_parameters 1 -1/-1 -1/-1
#А тут раздача "слонов" - богу богово и т.д.
#Что здесь значит 2 ?
#достаточно будет одной строки? "Запретить сети postshop все время #кроме
диапазона pshop" и т.д.
delay_access 2 deny postshop !pshop
delay_access 2 deny admin !adm
Правильно ли тут что-нибудь? Просто правило "delay_access 2 deny postshop
!pshop" будет действовать и на группу admin.. Запутался..
P.S. Читал очень много материалов, http://squid.opennet.ru и
http://atmsk.altlinux.org.ua в том числе, наверное отсюда и каша в голове..
--
С уважением, Владимир Гусев
Подробная информация о списке рассылки community