форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы Настройка Squid и других прокси серверов (Public)
Изначальное сообщение		[Проследить за развитием треда]

"squid и iptables"
Сообщение от kazak on 05-Окт-04, 17:56  (MSK)
Создал правило, чтобы userы из локалки могли в инет выходить только через squid: iptables -A INPUT -p tcp -s 0/0 -i eth0 -dport 3128 -j ACCEPT Однако в инет вылезти не могу через squid. В логах я не регистрируюсь, хотя окошко регистрации выскакивает - скорее всего из кеша. Для регистрации использую ncsa_auth и правило для нее iptables -A INPUT -p tcp -s 192.170.30.0/24 -i eth0 -j ACCEPT Что не так?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "squid и iptables"
Сообщение от ipmanyak (??) on 06-Окт-04, 07:34  (MSK)
>Создал правило, чтобы userы из локалки могли в инет выходить >только через squid: >iptables -A INPUT -p tcp -s 0/0 -i eth0 -dport 3128 -j >ACCEPT > >Однако в инет вылезти не могу через squid. >В логах я не регистрируюсь, хотя окошко регистрации выскакивает - скорее всего >из кеша. >Для регистрации использую ncsa_auth и правило для нее >iptables -A INPUT -p tcp -s 192.170.30.0/24 -i eth0 -j ACCEPT > >Что не так? iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128 плюс в сквиде httpd_accel_host virtual httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_uses_host_header on
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "squid и iptables"
	Сообщение от kazak on 06-Окт-04, 10:33  (MSK)
	>>Создал правило, чтобы userы из локалки могли в инет выходить >>только через squid: >>iptables -A INPUT -p tcp -s 0/0 -i eth0 -dport 3128 -j >>ACCEPT >> >>Однако в инет вылезти не могу через squid. >>В логах я не регистрируюсь, хотя окошко регистрации выскакивает - скорее всего >>из кеша. >>Для регистрации использую ncsa_auth и правило для нее >>iptables -A INPUT -p tcp -s 192.170.30.0/24 -i eth0 -j ACCEPT >> >>Что не так? >iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j >REDIRECT --to-port 3128 >плюс в сквиде >httpd_accel_host virtual >httpd_accel_port 80 >httpd_accel_with_proxy on >httpd_accel_uses_host_header on Не согласен, я не испоьзую прозрачное проксирование. В настройках браузера прописано четко 192.170.30.180:3128 Зачем мне iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128 ? Если не прав прошу объяснить, где.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "squid и iptables"
	Сообщение от V_NMad on 07-Окт-04, 11:17  (MSK)
	>>>Создал правило, чтобы userы из локалки могли в инет выходить >>>только через squid: >>>iptables -A INPUT -p tcp -s 0/0 -i eth0 -dport 3128 -j >>>ACCEPT >>> >>>Однако в инет вылезти не могу через squid. >>>В логах я не регистрируюсь, хотя окошко регистрации выскакивает - скорее всего >>>из кеша. >>>Для регистрации использую ncsa_auth и правило для нее >>>iptables -A INPUT -p tcp -s 192.170.30.0/24 -i eth0 -j ACCEPT >>> >>>Что не так? >>iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j >>REDIRECT --to-port 3128 >>плюс в сквиде >>httpd_accel_host virtual >>httpd_accel_port 80 >>httpd_accel_with_proxy on >>httpd_accel_uses_host_header on > >Не согласен, я не испоьзую прозрачное проксирование. В настройках браузера прописано четко >192.170.30.180:3128 >Зачем мне iptables -t nat -A PREROUTING -i eth0 -p tcp --dport >80 -j REDIRECT --to-port 3128 ? >Если не прав прошу объяснить, где. Не прав ты в том что ЮЗЕРАМ по твоим правилам сейчас можно ходить ЧЕРЕЗ ЛЮБОЙ ДОСТУПНЫЙ В ИНТЕРНЕТЕ FREE PROXY и то юзерам будет до одного места какие ты им будешь ваять правила в squid'е
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "squid и iptables"
	Сообщение от kazak on 10-Окт-04, 08:20  (MSK)
	>>>>Создал правило, чтобы userы из локалки могли в инет выходить >>>>только через squid: >>>>iptables -A INPUT -p tcp -s 0/0 -i eth0 -dport 3128 -j >>>>ACCEPT >>>> >>>>Однако в инет вылезти не могу через squid. >>>>В логах я не регистрируюсь, хотя окошко регистрации выскакивает - скорее всего >>>>из кеша. >>>>Для регистрации использую ncsa_auth и правило для нее >>>>iptables -A INPUT -p tcp -s 192.170.30.0/24 -i eth0 -j ACCEPT >>>> >>>>Что не так? >>>iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j >>>REDIRECT --to-port 3128 >>>плюс в сквиде >>>httpd_accel_host virtual >>>httpd_accel_port 80 >>>httpd_accel_with_proxy on >>>httpd_accel_uses_host_header on >> >>Не согласен, я не испоьзую прозрачное проксирование. В настройках браузера прописано четко >>192.170.30.180:3128 >>Зачем мне iptables -t nat -A PREROUTING -i eth0 -p tcp --dport >>80 -j REDIRECT --to-port 3128 ? >>Если не прав прошу объяснить, где. > > >Не прав ты в том что ЮЗЕРАМ по твоим правилам сейчас можно >ходить ЧЕРЕЗ ЛЮБОЙ ДОСТУПНЫЙ В ИНТЕРНЕТЕ FREE PROXY и то юзерам >будет до одного места какие ты им будешь ваять правила в >squid'е В инет они могут попасть только через мою проксю м не как иначе.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "squid и iptables"
	Сообщение от V_NMad on 11-Окт-04, 11:49  (MSK)
	>>>>>Создал правило, чтобы userы из локалки могли в инет выходить >>>>>только через squid: >>>>>iptables -A INPUT -p tcp -s 0/0 -i eth0 -dport 3128 -j >>>>>ACCEPT >>>>> >>>>>Однако в инет вылезти не могу через squid. >>>>>В логах я не регистрируюсь, хотя окошко регистрации выскакивает - скорее всего >>>>>из кеша. >>>>>Для регистрации использую ncsa_auth и правило для нее >>>>>iptables -A INPUT -p tcp -s 192.170.30.0/24 -i eth0 -j ACCEPT >>>>> >>>>>Что не так? >>>>iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j >>>>REDIRECT --to-port 3128 >>>>плюс в сквиде >>>>httpd_accel_host virtual >>>>httpd_accel_port 80 >>>>httpd_accel_with_proxy on >>>>httpd_accel_uses_host_header on >>> >>>Не согласен, я не испоьзую прозрачное проксирование. В настройках браузера прописано четко >>>192.170.30.180:3128 >>>Зачем мне iptables -t nat -A PREROUTING -i eth0 -p tcp --dport >>>80 -j REDIRECT --to-port 3128 ? >>>Если не прав прошу объяснить, где. >> >> >>Не прав ты в том что ЮЗЕРАМ по твоим правилам сейчас можно >>ходить ЧЕРЕЗ ЛЮБОЙ ДОСТУПНЫЙ В ИНТЕРНЕТЕ FREE PROXY и то юзерам >>будет до одного места какие ты им будешь ваять правила в >>squid'е > >В инет они могут попасть только через мою проксю м не как >иначе. Смотри внимательно ! iptables -A INPUT -p tcp -s 0/0 -i eth0 -dport 3128 -j ACCEPT Это правило звучит так: принимать ВСЕ пакеты TCP от любого ИП попадающего на интерфейс ETH0 и порт 3128 ! Тебе ничего не говорит ПРОПУСТИТЬ ВСЕХ на 3128 !? Почитай выше я тебе уже описал что это дырка для твоих пользователей !
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "squid и iptables"
	Сообщение от kazak on 12-Окт-04, 12:29  (MSK)
	>>>>>>Создал правило, чтобы userы из локалки могли в инет выходить >>>>>>только через squid: >>>>>>iptables -A INPUT -p tcp -s 0/0 -i eth0 -dport 3128 -j >>>>>>ACCEPT >>>>>> >>>>>>Однако в инет вылезти не могу через squid. >>>>>>В логах я не регистрируюсь, хотя окошко регистрации выскакивает - скорее всего >>>>>>из кеша. >>>>>>Для регистрации использую ncsa_auth и правило для нее >>>>>>iptables -A INPUT -p tcp -s 192.170.30.0/24 -i eth0 -j ACCEPT >>>>>> >>>>>>Что не так? >>>>>iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j >>>>>REDIRECT --to-port 3128 >>>>>плюс в сквиде >>>>>httpd_accel_host virtual >>>>>httpd_accel_port 80 >>>>>httpd_accel_with_proxy on >>>>>httpd_accel_uses_host_header on >>>> >>>>Не согласен, я не испоьзую прозрачное проксирование. В настройках браузера прописано четко >>>>192.170.30.180:3128 >>>>Зачем мне iptables -t nat -A PREROUTING -i eth0 -p tcp --dport >>>>80 -j REDIRECT --to-port 3128 ? >>>>Если не прав прошу объяснить, где. >>> >>> >>>Не прав ты в том что ЮЗЕРАМ по твоим правилам сейчас можно >>>ходить ЧЕРЕЗ ЛЮБОЙ ДОСТУПНЫЙ В ИНТЕРНЕТЕ FREE PROXY и то юзерам >>>будет до одного места какие ты им будешь ваять правила в >>>squid'е >> >>В инет они могут попасть только через мою проксю м не как >>иначе. > >Смотри внимательно ! >iptables -A INPUT -p tcp -s 0/0 -i eth0 -dport 3128 -j >ACCEPT >Это правило звучит так: принимать ВСЕ пакеты TCP от любого ИП попадающего >на интерфейс ETH0 и порт 3128 ! >Тебе ничего не говорит ПРОПУСТИТЬ ВСЕХ на 3128 !? >Почитай выше я тебе уже описал что это дырка для твоих пользователей >! А как насчет таблицы INPUT? На любой другой прокси необходимо форвардинг разрешить. Кстати у меня есть другой вопрос. Сейчас у меня все работает, однако при перезагрузки сквида не могу запустится ncsa-auth, т.е. последняя строчка в caсhe.log попытка запуска ncsa-auth. Не знаешь, что может мешать?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "squid и iptables"
	Сообщение от V_NMad on 12-Окт-04, 15:13  (MSK)
	>>>>>>>Создал правило, чтобы userы из локалки могли в инет выходить >>>>>>>только через squid: >>>>>>>iptables -A INPUT -p tcp -s 0/0 -i eth0 -dport 3128 -j >>>>>>>ACCEPT >>>>>>> >>>>>>>Однако в инет вылезти не могу через squid. >>>>>>>В логах я не регистрируюсь, хотя окошко регистрации выскакивает - скорее всего >>>>>>>из кеша. >>>>>>>Для регистрации использую ncsa_auth и правило для нее >>>>>>>iptables -A INPUT -p tcp -s 192.170.30.0/24 -i eth0 -j ACCEPT >>>>>>> >>>>>>>Что не так? >>>>>>iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j >>>>>>REDIRECT --to-port 3128 >>>>>>плюс в сквиде >>>>>>httpd_accel_host virtual >>>>>>httpd_accel_port 80 >>>>>>httpd_accel_with_proxy on >>>>>>httpd_accel_uses_host_header on >>>>> >>>>>Не согласен, я не испоьзую прозрачное проксирование. В настройках браузера прописано четко >>>>>192.170.30.180:3128 >>>>>Зачем мне iptables -t nat -A PREROUTING -i eth0 -p tcp --dport >>>>>80 -j REDIRECT --to-port 3128 ? >>>>>Если не прав прошу объяснить, где. >>>> >>>> >>>>Не прав ты в том что ЮЗЕРАМ по твоим правилам сейчас можно >>>>ходить ЧЕРЕЗ ЛЮБОЙ ДОСТУПНЫЙ В ИНТЕРНЕТЕ FREE PROXY и то юзерам >>>>будет до одного места какие ты им будешь ваять правила в >>>>squid'е >>> >>>В инет они могут попасть только через мою проксю м не как >>>иначе. >> >>Смотри внимательно ! >>iptables -A INPUT -p tcp -s 0/0 -i eth0 -dport 3128 -j >>ACCEPT >>Это правило звучит так: принимать ВСЕ пакеты TCP от любого ИП попадающего >>на интерфейс ETH0 и порт 3128 ! >>Тебе ничего не говорит ПРОПУСТИТЬ ВСЕХ на 3128 !? >>Почитай выше я тебе уже описал что это дырка для твоих пользователей >>! > >А как насчет таблицы INPUT? >На любой другой прокси необходимо форвардинг разрешить. > >Кстати у меня есть другой вопрос. >Сейчас у меня все работает, однако при перезагрузки сквида не могу запустится >ncsa-auth, т.е. последняя строчка в caсhe.log попытка запуска ncsa-auth. Не знаешь, >что может мешать? На счет ncsa не знаю что посоветовать ! По поводу FORWARD где они у тебя вообще !? Покажи свои правила со всеми STATEFULL если есть
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.