- squid и iptables,
 ipmanyak, 07:34 , 06-Окт-04 (1)>Создал правило, чтобы userы из локалки могли в инет выходить
>только через squid:
>iptables -A INPUT -p tcp -s 0/0 -i eth0 -dport 3128 -j
>ACCEPT
>
>Однако в инет вылезти не могу через squid.
>В логах я не регистрируюсь, хотя окошко регистрации выскакивает - скорее всего
>из кеша.
>Для регистрации использую ncsa_auth и правило для нее
>iptables -A INPUT -p tcp -s 192.170.30.0/24 -i eth0 -j ACCEPT
>
>Что не так?
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
плюс в сквиде
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
- squid и iptables, kazak, 10:33 , 06-Окт-04 (2)
>>Создал правило, чтобы userы из локалки могли в инет выходить
>>только через squid:
>>iptables -A INPUT -p tcp -s 0/0 -i eth0 -dport 3128 -j
>>ACCEPT
>>
>>Однако в инет вылезти не могу через squid.
>>В логах я не регистрируюсь, хотя окошко регистрации выскакивает - скорее всего
>>из кеша.
>>Для регистрации использую ncsa_auth и правило для нее
>>iptables -A INPUT -p tcp -s 192.170.30.0/24 -i eth0 -j ACCEPT
>>
>>Что не так?
>iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j
>REDIRECT --to-port 3128
>плюс в сквиде
>httpd_accel_host virtual
>httpd_accel_port 80
>httpd_accel_with_proxy on
>httpd_accel_uses_host_header on Не согласен, я не испоьзую прозрачное проксирование. В настройках браузера прописано четко 192.170.30.180:3128
Зачем мне iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128 ?
Если не прав прошу объяснить, где.
- squid и iptables, V_NMad, 11:17 , 07-Окт-04 (3)
>>>Создал правило, чтобы userы из локалки могли в инет выходить
>>>только через squid:
>>>iptables -A INPUT -p tcp -s 0/0 -i eth0 -dport 3128 -j
>>>ACCEPT
>>>
>>>Однако в инет вылезти не могу через squid.
>>>В логах я не регистрируюсь, хотя окошко регистрации выскакивает - скорее всего
>>>из кеша.
>>>Для регистрации использую ncsa_auth и правило для нее
>>>iptables -A INPUT -p tcp -s 192.170.30.0/24 -i eth0 -j ACCEPT
>>>
>>>Что не так?
>>iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j
>>REDIRECT --to-port 3128
>>плюс в сквиде
>>httpd_accel_host virtual
>>httpd_accel_port 80
>>httpd_accel_with_proxy on
>>httpd_accel_uses_host_header on
>
>Не согласен, я не испоьзую прозрачное проксирование. В настройках браузера прописано четко
>192.170.30.180:3128
>Зачем мне iptables -t nat -A PREROUTING -i eth0 -p tcp --dport
>80 -j REDIRECT --to-port 3128 ?
>Если не прав прошу объяснить, где.
Не прав ты в том что ЮЗЕРАМ по твоим правилам сейчас можно ходить ЧЕРЕЗ ЛЮБОЙ ДОСТУПНЫЙ В ИНТЕРНЕТЕ FREE PROXY и то юзерам будет до одного места какие ты им будешь ваять правила в squid'е
- squid и iptables, kazak, 08:20 , 10-Окт-04 (4)
>>>>Создал правило, чтобы userы из локалки могли в инет выходить
>>>>только через squid:
>>>>iptables -A INPUT -p tcp -s 0/0 -i eth0 -dport 3128 -j
>>>>ACCEPT
>>>>
>>>>Однако в инет вылезти не могу через squid.
>>>>В логах я не регистрируюсь, хотя окошко регистрации выскакивает - скорее всего
>>>>из кеша.
>>>>Для регистрации использую ncsa_auth и правило для нее
>>>>iptables -A INPUT -p tcp -s 192.170.30.0/24 -i eth0 -j ACCEPT
>>>>
>>>>Что не так?
>>>iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j
>>>REDIRECT --to-port 3128
>>>плюс в сквиде
>>>httpd_accel_host virtual
>>>httpd_accel_port 80
>>>httpd_accel_with_proxy on
>>>httpd_accel_uses_host_header on
>>
>>Не согласен, я не испоьзую прозрачное проксирование. В настройках браузера прописано четко
>>192.170.30.180:3128
>>Зачем мне iptables -t nat -A PREROUTING -i eth0 -p tcp --dport
>>80 -j REDIRECT --to-port 3128 ?
>>Если не прав прошу объяснить, где.
>
>
>Не прав ты в том что ЮЗЕРАМ по твоим правилам сейчас можно
>ходить ЧЕРЕЗ ЛЮБОЙ ДОСТУПНЫЙ В ИНТЕРНЕТЕ FREE PROXY и то юзерам
>будет до одного места какие ты им будешь ваять правила в
>squid'е В инет они могут попасть только через мою проксю м не как иначе.
- squid и iptables, V_NMad, 11:49 , 11-Окт-04 (5)
>>>>>Создал правило, чтобы userы из локалки могли в инет выходить
>>>>>только через squid:
>>>>>iptables -A INPUT -p tcp -s 0/0 -i eth0 -dport 3128 -j
>>>>>ACCEPT
>>>>>
>>>>>Однако в инет вылезти не могу через squid.
>>>>>В логах я не регистрируюсь, хотя окошко регистрации выскакивает - скорее всего
>>>>>из кеша.
>>>>>Для регистрации использую ncsa_auth и правило для нее
>>>>>iptables -A INPUT -p tcp -s 192.170.30.0/24 -i eth0 -j ACCEPT
>>>>>
>>>>>Что не так?
>>>>iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j
>>>>REDIRECT --to-port 3128
>>>>плюс в сквиде
>>>>httpd_accel_host virtual
>>>>httpd_accel_port 80
>>>>httpd_accel_with_proxy on
>>>>httpd_accel_uses_host_header on
>>>
>>>Не согласен, я не испоьзую прозрачное проксирование. В настройках браузера прописано четко
>>>192.170.30.180:3128
>>>Зачем мне iptables -t nat -A PREROUTING -i eth0 -p tcp --dport
>>>80 -j REDIRECT --to-port 3128 ?
>>>Если не прав прошу объяснить, где.
>>
>>
>>Не прав ты в том что ЮЗЕРАМ по твоим правилам сейчас можно
>>ходить ЧЕРЕЗ ЛЮБОЙ ДОСТУПНЫЙ В ИНТЕРНЕТЕ FREE PROXY и то юзерам
>>будет до одного места какие ты им будешь ваять правила в
>>squid'е
>
>В инет они могут попасть только через мою проксю м не как
>иначе. Смотри внимательно !
iptables -A INPUT -p tcp -s 0/0 -i eth0 -dport 3128 -j ACCEPT
Это правило звучит так: принимать ВСЕ пакеты TCP от любого ИП попадающего на интерфейс ETH0 и порт 3128 !
Тебе ничего не говорит ПРОПУСТИТЬ ВСЕХ на 3128 !?
Почитай выше я тебе уже описал что это дырка для твоих пользователей !
- squid и iptables, kazak, 12:29 , 12-Окт-04 (6)
>>>>>>Создал правило, чтобы userы из локалки могли в инет выходить
>>>>>>только через squid:
>>>>>>iptables -A INPUT -p tcp -s 0/0 -i eth0 -dport 3128 -j
>>>>>>ACCEPT
>>>>>>
>>>>>>Однако в инет вылезти не могу через squid.
>>>>>>В логах я не регистрируюсь, хотя окошко регистрации выскакивает - скорее всего
>>>>>>из кеша.
>>>>>>Для регистрации использую ncsa_auth и правило для нее
>>>>>>iptables -A INPUT -p tcp -s 192.170.30.0/24 -i eth0 -j ACCEPT
>>>>>>
>>>>>>Что не так?
>>>>>iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j
>>>>>REDIRECT --to-port 3128
>>>>>плюс в сквиде
>>>>>httpd_accel_host virtual
>>>>>httpd_accel_port 80
>>>>>httpd_accel_with_proxy on
>>>>>httpd_accel_uses_host_header on
>>>>
>>>>Не согласен, я не испоьзую прозрачное проксирование. В настройках браузера прописано четко
>>>>192.170.30.180:3128
>>>>Зачем мне iptables -t nat -A PREROUTING -i eth0 -p tcp --dport
>>>>80 -j REDIRECT --to-port 3128 ?
>>>>Если не прав прошу объяснить, где.
>>>
>>>
>>>Не прав ты в том что ЮЗЕРАМ по твоим правилам сейчас можно
>>>ходить ЧЕРЕЗ ЛЮБОЙ ДОСТУПНЫЙ В ИНТЕРНЕТЕ FREE PROXY и то юзерам
>>>будет до одного места какие ты им будешь ваять правила в
>>>squid'е
>>
>>В инет они могут попасть только через мою проксю м не как
>>иначе.
>
>Смотри внимательно !
>iptables -A INPUT -p tcp -s 0/0 -i eth0 -dport 3128 -j
>ACCEPT
>Это правило звучит так: принимать ВСЕ пакеты TCP от любого ИП попадающего
>на интерфейс ETH0 и порт 3128 !
>Тебе ничего не говорит ПРОПУСТИТЬ ВСЕХ на 3128 !?
>Почитай выше я тебе уже описал что это дырка для твоих пользователей
>! А как насчет таблицы INPUT?
На любой другой прокси необходимо форвардинг разрешить. Кстати у меня есть другой вопрос.
Сейчас у меня все работает, однако при перезагрузки сквида не могу запустится ncsa-auth, т.е. последняя строчка в caсhe.log попытка запуска ncsa-auth. Не знаешь, что может мешать?
- squid и iptables, V_NMad, 15:13 , 12-Окт-04 (7)
>>>>>>>Создал правило, чтобы userы из локалки могли в инет выходить
>>>>>>>только через squid:
>>>>>>>iptables -A INPUT -p tcp -s 0/0 -i eth0 -dport 3128 -j
>>>>>>>ACCEPT
>>>>>>>
>>>>>>>Однако в инет вылезти не могу через squid.
>>>>>>>В логах я не регистрируюсь, хотя окошко регистрации выскакивает - скорее всего
>>>>>>>из кеша.
>>>>>>>Для регистрации использую ncsa_auth и правило для нее
>>>>>>>iptables -A INPUT -p tcp -s 192.170.30.0/24 -i eth0 -j ACCEPT
>>>>>>>
>>>>>>>Что не так?
>>>>>>iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j
>>>>>>REDIRECT --to-port 3128
>>>>>>плюс в сквиде
>>>>>>httpd_accel_host virtual
>>>>>>httpd_accel_port 80
>>>>>>httpd_accel_with_proxy on
>>>>>>httpd_accel_uses_host_header on
>>>>>
>>>>>Не согласен, я не испоьзую прозрачное проксирование. В настройках браузера прописано четко
>>>>>192.170.30.180:3128
>>>>>Зачем мне iptables -t nat -A PREROUTING -i eth0 -p tcp --dport
>>>>>80 -j REDIRECT --to-port 3128 ?
>>>>>Если не прав прошу объяснить, где.
>>>>
>>>>
>>>>Не прав ты в том что ЮЗЕРАМ по твоим правилам сейчас можно
>>>>ходить ЧЕРЕЗ ЛЮБОЙ ДОСТУПНЫЙ В ИНТЕРНЕТЕ FREE PROXY и то юзерам
>>>>будет до одного места какие ты им будешь ваять правила в
>>>>squid'е
>>>
>>>В инет они могут попасть только через мою проксю м не как
>>>иначе.
>>
>>Смотри внимательно !
>>iptables -A INPUT -p tcp -s 0/0 -i eth0 -dport 3128 -j
>>ACCEPT
>>Это правило звучит так: принимать ВСЕ пакеты TCP от любого ИП попадающего
>>на интерфейс ETH0 и порт 3128 !
>>Тебе ничего не говорит ПРОПУСТИТЬ ВСЕХ на 3128 !?
>>Почитай выше я тебе уже описал что это дырка для твоих пользователей
>>!
>
>А как насчет таблицы INPUT?
>На любой другой прокси необходимо форвардинг разрешить.
>
>Кстати у меня есть другой вопрос.
>Сейчас у меня все работает, однако при перезагрузки сквида не могу запустится
>ncsa-auth, т.е. последняя строчка в caсhe.log попытка запуска ncsa-auth. Не знаешь,
>что может мешать?
На счет ncsa не знаю что посоветовать !
По поводу FORWARD где они у тебя вообще !? Покажи свои правила со всеми STATEFULL если есть
|
Версия для распечатки
squid и iptables, 
