[Comm]Запрет пользования сторонними проксями.

Вт Сен 27 19:07:36 MSD 2005

Nick S. Grechukh wrote:
>>>>Как запретить использование сторонних прокси на сервере, все
>>>>манипуляции на клиенте не рассматриваются.
>>>запретить прямое хождение и сделать непрозрачный прокси, юзерам
>>>разъяснить.
>>Надо именно на прозрачном прокси, каким то образом отсекать тех кто
>>настроил свой браузер на стороннюю проксю. Возможно acl ????
> afair проблема сводится к "как идентифицировать прокси по известным 
> hostname:port". проблема в общем случае нерешаемая.

iptables -P FORWARD DROP
iptables -A FORWARD -j ACCEPT -p tcp --dports разрешённый_порт.

Т.е. по умолчанию запретить ВСЕ dest-порты в транзитных пакетах, и потом 
открыть только явно указанные. Только тут много всяких подводных граблей.

Вот, лови, пригодится:

$IPTABLES -A FORWARD -m state --state INVALID -j DROP

$IPTABLES -A FORWARD -p icmp -s 10.1.0.0/16 -j ACCEPT
$IPTABLES -A FORWARD -p icmp -d 10.1.0.0/16 -m state --state RELATED -j 
ACCEPT
$IPTABLES -A FORWARD -p tcp -s 10.1.0.0/16 --dport 5190 -j ACCEPT 
# Jabber
$IPTABLES -A FORWARD -p tcp -s 10.1.0.0/16 --dport 6667 -j ACCEPT 
# IRC
$IPTABLES -A FORWARD -p udp -s 10.1.0.0/16 --dport 6667 -j ACCEPT 
# IRC
$IPTABLES -A FORWARD -p tcp -s 10.1.0.0/16 --dport 25 -j ACCEPT 
# SMTP
$IPTABLES -A FORWARD -p udp -s 10.1.0.0/16 --dport 25 -j ACCEPT 
# SMTP
$IPTABLES -A FORWARD -p tcp -s 10.1.0.0/16 --dport 465 -j ACCEPT 
# SMTPS
$IPTABLES -A FORWARD -p tcp -s 10.1.0.0/16 --dport 110 -j ACCEPT 
# POP3
$IPTABLES -A FORWARD -p udp -s 10.1.0.0/16 --dport 110 -j ACCEPT 
# POP3
$IPTABLES -A FORWARD -p tcp -s 10.1.0.0/16 --dport 995 -j ACCEPT 
# POP3S
$IPTABLES -A FORWARD -p udp -s 10.1.0.0/16 --dport 995 -j ACCEPT 
# POP3S
$IPTABLES -A FORWARD -p tcp -s 10.1.0.0/16 --dport 143 -j ACCEPT 
# IMAPv2(v4)
$IPTABLES -A FORWARD -p udp -s 10.1.0.0/16 --dport 143 -j ACCEPT 
# IMAPv2(v4)
$IPTABLES -A FORWARD -p tcp -s 10.1.0.0/16 --dport 993 -j ACCEPT 
# IMAPS
$IPTABLES -A FORWARD -p udp -s 10.1.0.0/16 --dport 993 -j ACCEPT 
# IMAPS
$IPTABLES -A FORWARD -p tcp -s 10.1.0.0/16 --dport 119 -j ACCEPT 
# NNTP
$IPTABLES -A FORWARD -p udp -s 10.1.0.0/16 --dport 119 -j ACCEPT 
# NNTP
$IPTABLES -A FORWARD -p tcp -s 10.1.0.0/16 --dport 563 -j ACCEPT 
# NNTPS
$IPTABLES -A FORWARD -p udp -s 10.1.0.0/16 --dport 563 -j ACCEPT 
# NNTPS
$IPTABLES -A FORWARD -p tcp -s 10.1.0.0/16 --dport 20 -j ACCEPT 
# FTP-DATA
$IPTABLES -A FORWARD -p udp -s 10.1.0.0/16 --dport 20 -j ACCEPT 
# FTP-DATA
$IPTABLES -A FORWARD -p tcp -s 10.1.0.0/16 --dport 21 -j ACCEPT 
# FTP-CTL
$IPTABLES -A FORWARD -p udp -s 10.1.0.0/16 --dport 21 -j ACCEPT 
# FTP-CTL
$IPTABLES -A FORWARD -p tcp -s 10.1.0.0/16 --dport 22 -j ACCEPT 
# SSH
$IPTABLES -A FORWARD -p udp -s 10.1.0.0/16 --dport 22 -j ACCEPT 
# SSH
$IPTABLES -A FORWARD -p tcp -s 10.1.0.0/16 --dport 23 -j ACCEPT 
# Telnet
$IPTABLES -A FORWARD -p udp -s 10.1.0.0/16 --dport 23 -j ACCEPT 
# Telnet
$IPTABLES -A FORWARD -p tcp -s 10.1.0.0/16 --dport 53 -j ACCEPT 
# Domain
$IPTABLES -A FORWARD -p udp -s 10.1.0.0/16 --dport 53 -j ACCEPT 
# Domain
$IPTABLES -A FORWARD -p tcp -s 10.1.0.0/16 --dport 443 -j ACCEPT 
# HTTPS
$IPTABLES -A FORWARD -p udp -s 10.1.0.0/16 --dport 443 -j ACCEPT 
# HTTPS
$IPTABLES -A FORWARD -p tcp -s 10.1.0.0/16 --dport 8080 -j ACCEPT 
# HTTP-alt.
$IPTABLES -A FORWARD -p udp -s 10.1.0.0/16 --dport 8080 -j ACCEPT 
# HTTP-alt.
$IPTABLES -A FORWARD -p tcp -s 10.1.0.0/16 --dport 33434 -j ACCEPT 
# Traceroute
$IPTABLES -A FORWARD -p udp -s 10.1.0.0/16 --dport 33434 -j ACCEPT 
# Traceroute
$IPTABLES -A FORWARD -p tcp -s 10.1.0.0/16 --dport 123 -j ACCEPT 
# NTP
$IPTABLES -A FORWARD -p udp -s 10.1.0.0/16 --dport 123 -j ACCEPT 
# NTP

$IPTABLES -A FORWARD -m state --state ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -p tcp --dport 1024:65535 -m state --state RELATED 
-j ACCEPT
$IPTABLES -A FORWARD -p udp --dport 1024:65535 -m state --state RELATED 
-j ACCEPT