[Comm] Squid из коробки Alt Linux Master 2.4

Владимир Гусев =?iso-8859-1?q?vova1971_=CE=C1_narod=2Eru?=
Сб Апр 2 19:10:21 MSD 2005 

>> >> -A PREROUTING -s 192.168.1.49 -d 192.168.1.100 -p tcp -m
>> >> tcp --dport 80 -j REDIRECT --to-ports 3128
>> >
>> > -A PREROUTING -s 192.168.1.100/32 -d ! 192.168.1.0/24 -p tcp
>> > -m tcp --dport 80 -j REDIRECT --to-ports 3128
>>
>> не объясните действие этой строки? В целом понятно, я насчет
>> 192.168.1.100/32 - почему именно так?
>
> Все пакеты протокола tcp,приходящие на порт 80 с адреса
> 192.168.1.100 и идущие мимо сети 192.168.1.0 с маской
> 255.255.255.0, заворачивать на порт 3128.
>
> Мне просто более понятнее адреса в формате CIDR.
>
> Пакеты в прокси начали заворачиватся или продолжают ходить мимо?

Предыдущий вопрос с содержанием своего squid.conf и iptables я задал еще  
на работе. Потом, к концу вчерашнего рабочего дня я случайно запустил  
service iptables status  и увидел наглядно, что строка для INPUT (-A INPUT  
-m state --state RELATED,ESTABLISHED -j ACCEPT) блокирует пакеты типа NEW  
и изнутри (интерфейс конкретно ведь я не указал..) Я переделал, сделав две  
строки

iptables -A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT -  
для внешнего интерфейса
iptables -A INPUT -i eth1 -m state --state NEW,RELATED,ESTABLISHED -j  
ACCEPT - для внутреннего интерфейса..
Видимо внутр. сеть просто не имела доступ к любому порту на шлюзе изнутри,  
в том числе и к 3128.
Далее я убрал строку с разрешением доступа изнутри к порту 22 (SSH) и  
сделал редирект с 80 (8080,8081) на 3128, как по мануалам разным.. судя по  
моментально разросшемуся /var/log/squid/access.log вся сеть перешла на  
squid.
НО, вечером дома принял ваши строки и задумался.. вроде бы тут они  
выполняют двойную задачу и изящнее - тут и перенаправление с одновременным  
исключением других путей.. Попробую..

И еще вопрос - насколько уязвим мой способ? Можно ли давать доступ к  
портам к внутр. интерфесу шлюза?
Единственной строкой как-то исключающей возможность прикидываться членами  
нашей локалки извне стала такая:
-A FORWARD -s 192.168.1.0/255.255.255.0 -i eth0 -j DROP

Проблемы несанкционированного доступа из локалки по SSH (кроме меня) нет..

После того как сквид заработал, я на себе ощутил работу "замедления  
скорости":) и понял примерно, как это работает.. правда не совсем..
Не понял до конца про то, как лучше написать логику..
Например,

#задается вся сеть
acl postshop src 192.168.1.0/255.255.255.0
#задается группа лиц, имеющих полный и неогранич. доступ к инету
# НИГДЕ НЕ НАШЕЛ, как перечислять отдельные ip-адреса, не расположенные  
#по порядку! Ниже  - мое предположение...
acl admin src 192.168.1.1 192.168.1.3 192.168.1.49

***
#Задается время pshop для сети postshop
acl pshop time MTWHF 09:00-18:00
#Задается время adm для адресов admin
acl adm time MTWHFAS 00:01-23:59
#Тут, насколько я понял, количество delay_pools, честно говоря, #запутался  
в этом всем..:(  Вроде бы 2 - это класс сети (?).. 192.168.#1.0/24 - куда  
попадает, в класс 2 ?

delay_pools 2

#с delay_class у меня еще хуже..первая цифра - это класс пула
# вторая цифра - это номер пула (какой номер, откуда берется..?)
delay_class 1 2

#тупо передрал.. :(
delay_parameters 1 -1/-1 -1/-1

#А тут раздача "слонов" - богу богово и т.д.
#Что здесь значит 2 ?
#достаточно будет одной строки? "Запретить сети postshop все время #кроме  
диапазона pshop" и т.д.

delay_access 2 deny postshop !pshop
delay_access 2 deny admin !adm

Правильно ли тут что-нибудь? Просто правило "delay_access 2 deny postshop  
!pshop" будет действовать и на группу admin.. Запутался..

P.S. Читал очень много материалов, http://squid.opennet.ru и  
http://atmsk.altlinux.org.ua в том числе, наверное отсюда и каша в голове..


-- 
С уважением, Владимир Гусев

Подробная информация о списке рассылки community