forum.opennet.ru - "Squid и iptables" (5)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Squid и iptables"

Форумы Настройка Squid и других прокси серверов (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Squid и iptables"
Сообщение от bobs (ok) on 07-Июн-04, 10:09 (MSK)
На серваке, который является брандмауэром (на iptables), работает Squid. Юзеры ходят в инет через него. Политика для цепочки INPUT по умолчанию DROP. Какие порты надо открыть на внешнем интерфейсе, чтобы можно было выходить в инет. открытие --dport 80 и --dport 8080 не помогло :-/
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

Squid и iptables, ipmanyak, 10:34 , 07-Июн-04, (1)
- Squid и iptables, bobs, 12:34 , 07-Июн-04, (2)
  - Squid и iptables, ipmanyak, 13:23 , 07-Июн-04, (3)
    - Squid и iptables, bobs, 14:48 , 07-Июн-04, (4)
      - Squid и iptables, bobs, 16:37 , 08-Июн-04, (5)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Squid и iptables"

Сообщение от ipmanyak (ok) on 07-Июн-04, 10:34  (MSK)

>На серваке, который является брандмауэром (на iptables), работает Squid. Юзеры ходят в
>инет через него. Политика для цепочки INPUT по умолчанию DROP. Какие
>порты надо открыть на внешнем интерфейсе, чтобы можно было выходить в
>инет.
>открытие --dport 80 и --dport 8080 не помогло :-/
разумеется порт сквида, обычно 3128 ,
порты 0:1023 кроме нужных закрой (25 110 20 21 3128 открой ), порты 1024:65535 можно открыть

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Squid и iptables"

Сообщение от bobs (??) on 07-Июн-04, 12:34  (MSK)

>>На серваке, который является брандмауэром (на iptables), работает Squid. Юзеры ходят в
>>инет через него. Политика для цепочки INPUT по умолчанию DROP. Какие
>>порты надо открыть на внешнем интерфейсе, чтобы можно было выходить в
>>инет.
>>открытие --dport 80 и --dport 8080 не помогло :-/
>разумеется порт сквида, обычно 3128 ,
>порты 0:1023 кроме нужных закрой (25 110 20 21 3128 открой ),
>порты 1024:65535 можно открыть
3128 - это порт сквида для входящих запросов из внутренней сетки. Наружу сквид отправляет запросы уже не с этого порта. Кроме того вход 3128 извне рекомендуют закрыть! 25 и 110 - это вообще почтовые протоколы и сквид с ними никак не работает. Насколько я понял, сквид наружу работает как обычный http и ftp клиент. ?

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Squid и iptables"

Сообщение от ipmanyak (ok) on 07-Июн-04, 13:23  (MSK)

>>>На серваке, который является брандмауэром (на iptables), работает Squid. Юзеры ходят в
>>>инет через него. Политика для цепочки INPUT по умолчанию DROP. Какие
>>>порты надо открыть на внешнем интерфейсе, чтобы можно было выходить в
>>>инет.
>>>открытие --dport 80 и --dport 8080 не помогло :-/
>
>>разумеется порт сквида, обычно 3128 ,
>>порты 0:1023 кроме нужных закрой (25 110 20 21 3128 открой ),
>>порты 1024:65535 можно открыть
>
>3128 - это порт сквида для входящих запросов из внутренней сетки. Наружу
>сквид отправляет запросы уже не с этого порта. Кроме того вход
>3128 извне рекомендуют закрыть! 25 и 110 - это вообще почтовые
>протоколы и сквид с ними никак не работает. Насколько я понял,
>сквид наружу работает как обычный http и ftp клиент. ?
сквид это чистый http прокси и с ftp over http ! чистые ftp клиенты через него не пашут.
извне порт сквид закрывается в конфиге сквида слушанием на локальном ip
http_port 1921.168.0.2:3128
про те порты я тебе в целом говорил, а не касатально сквида

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Squid и iptables"

Сообщение от bobs (??) on 07-Июн-04, 14:48  (MSK)

>>>разумеется порт сквида, обычно 3128 ,
>>>порты 0:1023 кроме нужных закрой (25 110 20 21 3128 открой ),
>>>порты 1024:65535 можно открыть
>>
>сквид это чистый http прокси и с ftp over http ! чистые
>ftp клиенты через него не пашут.
Да, да, точно...
>извне порт сквид закрывается в конфиге сквида слушанием на локальном ip
>http_port 1921.168.0.2:3128
Т.е исходящий порт у него тоже 3128? А в таком разе получается - он
слушает порт 3128 только на хосте 192.168.0.2....Или это только
запросы на подключения слушаются, а ответ на этот порт все равно примется с любого хоста? Если так, то
iptables -A INPUT -p tcp --sport 80 --dport 3128 -j ACCEPT
поможет?  Ну и кроме 80, еще пожалуй 443 и 8080....
PS:
Кстати, вот цитата из книжки "Безопасность линукс. Секреты хакеров"
"Прежде всего, установите правила для брандмауэра, которые бы
блокировали обращение удаленных компьютеров к порту 3128 (порт,
используемый Squid-сервером)" ......  (с)
:-/

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Squid и iptables"

Сообщение от bobs (??) on 08-Июн-04, 16:37  (MSK)

>>>>разумеется порт сквида, обычно 3128 ,
>>>>порты 0:1023 кроме нужных закрой (25 110 20 21 3128 открой ),
>>>>порты 1024:65535 можно открыть
Поможите, плиз, а то я что-то зашился... Что-то где-то забываю, потому как только ставлю iptables -P INPUT ACCEPT, все становится замечательно.
Сейчас в цепочке INPUT запрещены - DROP на:
137:139 - NetBios,
67:68 - bootp,
224.0.0.0 - мультикасты,
на адрес 0.0.0.0,
на 255.255.255.255,
пакеты с установленным SYN (активное подключение),
ACCEPT на:
tcp 80,8080,
tcp 3128,
udp 53 с адреса ДНС провайдера,
icmp для пингов,
-i eth0 - все с внутреннего интерфейса,
-i lo.
Что-то где-то не догоняю, потому как политика по умолчанию все решает.
HELP!

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Squid и iptables"
Сообщение от ipmanyak (ok) on 07-Июн-04, 10:34 (MSK)
>На серваке, который является брандмауэром (на iptables), работает Squid. Юзеры ходят в >инет через него. Политика для цепочки INPUT по умолчанию DROP. Какие >порты надо открыть на внешнем интерфейсе, чтобы можно было выходить в >инет. >открытие --dport 80 и --dport 8080 не помогло :-/ разумеется порт сквида, обычно 3128 , порты 0:1023 кроме нужных закрой (25 110 20 21 3128 открой ), порты 1024:65535 можно открыть
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "Squid и iptables"
	Сообщение от bobs (??) on 07-Июн-04, 12:34 (MSK)
	>>На серваке, который является брандмауэром (на iptables), работает Squid. Юзеры ходят в >>инет через него. Политика для цепочки INPUT по умолчанию DROP. Какие >>порты надо открыть на внешнем интерфейсе, чтобы можно было выходить в >>инет. >>открытие --dport 80 и --dport 8080 не помогло :-/ >разумеется порт сквида, обычно 3128 , >порты 0:1023 кроме нужных закрой (25 110 20 21 3128 открой ), >порты 1024:65535 можно открыть 3128 - это порт сквида для входящих запросов из внутренней сетки. Наружу сквид отправляет запросы уже не с этого порта. Кроме того вход 3128 извне рекомендуют закрыть! 25 и 110 - это вообще почтовые протоколы и сквид с ними никак не работает. Насколько я понял, сквид наружу работает как обычный http и ftp клиент. ?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "Squid и iptables"
	Сообщение от ipmanyak (ok) on 07-Июн-04, 13:23 (MSK)
	>>>На серваке, который является брандмауэром (на iptables), работает Squid. Юзеры ходят в >>>инет через него. Политика для цепочки INPUT по умолчанию DROP. Какие >>>порты надо открыть на внешнем интерфейсе, чтобы можно было выходить в >>>инет. >>>открытие --dport 80 и --dport 8080 не помогло :-/ > >>разумеется порт сквида, обычно 3128 , >>порты 0:1023 кроме нужных закрой (25 110 20 21 3128 открой ), >>порты 1024:65535 можно открыть > >3128 - это порт сквида для входящих запросов из внутренней сетки. Наружу >сквид отправляет запросы уже не с этого порта. Кроме того вход >3128 извне рекомендуют закрыть! 25 и 110 - это вообще почтовые >протоколы и сквид с ними никак не работает. Насколько я понял, >сквид наружу работает как обычный http и ftp клиент. ? сквид это чистый http прокси и с ftp over http ! чистые ftp клиенты через него не пашут. извне порт сквид закрывается в конфиге сквида слушанием на локальном ip http_port 1921.168.0.2:3128 про те порты я тебе в целом говорил, а не касатально сквида
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "Squid и iptables"
	Сообщение от bobs (??) on 07-Июн-04, 14:48 (MSK)
	>>>разумеется порт сквида, обычно 3128 , >>>порты 0:1023 кроме нужных закрой (25 110 20 21 3128 открой ), >>>порты 1024:65535 можно открыть >> >сквид это чистый http прокси и с ftp over http ! чистые >ftp клиенты через него не пашут. Да, да, точно... >извне порт сквид закрывается в конфиге сквида слушанием на локальном ip >http_port 1921.168.0.2:3128 Т.е исходящий порт у него тоже 3128? А в таком разе получается - он слушает порт 3128 только на хосте 192.168.0.2....Или это только запросы на подключения слушаются, а ответ на этот порт все равно примется с любого хоста? Если так, то iptables -A INPUT -p tcp --sport 80 --dport 3128 -j ACCEPT поможет? Ну и кроме 80, еще пожалуй 443 и 8080.... PS: Кстати, вот цитата из книжки "Безопасность линукс. Секреты хакеров" "Прежде всего, установите правила для брандмауэра, которые бы блокировали обращение удаленных компьютеров к порту 3128 (порт, используемый Squid-сервером)" ...... (с) :-/
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "Squid и iptables"
	Сообщение от bobs (??) on 08-Июн-04, 16:37 (MSK)
	>>>>разумеется порт сквида, обычно 3128 , >>>>порты 0:1023 кроме нужных закрой (25 110 20 21 3128 открой ), >>>>порты 1024:65535 можно открыть Поможите, плиз, а то я что-то зашился... Что-то где-то забываю, потому как только ставлю iptables -P INPUT ACCEPT, все становится замечательно. Сейчас в цепочке INPUT запрещены - DROP на: 137:139 - NetBios, 67:68 - bootp, 224.0.0.0 - мультикасты, на адрес 0.0.0.0, на 255.255.255.255, пакеты с установленным SYN (активное подключение), ACCEPT на: tcp 80,8080, tcp 3128, udp 53 с адреса ДНС провайдера, icmp для пингов, -i eth0 - все с внутреннего интерфейса, -i lo. Что-то где-то не догоняю, потому как политика по умолчанию все решает. HELP!
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх