поставил для squid'a sarg, и увидел что через мой прокси ходит не только моя внутряняя сеть, но и левые адреса, как их закрыть? подскажите какой acl нужно прописать.
>поставил для squid'a sarg, и увидел что через мой прокси ходит не
>только моя внутряняя сеть, но и левые адреса, как их закрыть?
>подскажите какой acl нужно прописать.пишешь строчки в конфиге типа таких
http_port 192.168.0.1:3128
http_port 127.0.0.1:3128
>>поставил для squid'a sarg, и увидел что через мой прокси ходит не
>>только моя внутряняя сеть, но и левые адреса, как их закрыть?
>>подскажите какой acl нужно прописать.
>
>пишешь строчки в конфиге типа таких
>http_port 192.168.0.1:3128
>http_port 127.0.0.1:3128Ходит будут, только будут получать отлуп от сквида - доступ запрещен, будут записи в логах.Надо на firewall закрывать.
>>>поставил для squid'a sarg, и увидел что через мой прокси ходит не
>>>только моя внутряняя сеть, но и левые адреса, как их закрыть?
>>>подскажите какой acl нужно прописать.
>>
>>пишешь строчки в конфиге типа таких
>>http_port 192.168.0.1:3128
>>http_port 127.0.0.1:3128
>
>Ходит будут, только будут получать отлуп от сквида - доступ запрещен, будут
>записи в логах.Надо на firewall закрывать.Не надо ничего на firewall закрывать.
Правильно написано же:http_port 192.168.0.1:3128
3128 вообще снаружи не будет.
>>записи в логах.Надо на firewall закрывать.
>
>Не надо ничего на firewall закрывать.
>Правильно написано же:
>
>http_port 192.168.0.1:3128
>
>3128 вообще снаружи не будет.
Это так, если именно 192 сеть юзается.
>>>записи в логах.Надо на firewall закрывать.
>>
>>Не надо ничего на firewall закрывать.
>>Правильно написано же:
>>
>>http_port 192.168.0.1:3128
>>
>>3128 вообще снаружи не будет.
>
>
>Это так, если именно 192 сеть юзается.
http_port 192.168.0.1:3128
http_port 1.2.3.4:3128
http_port 10.0.0.1:3128
http_port 55.0.0.5:3128Пишешь сколько угодно строчек в squid.conf
>Не надо ничего на firewall закрывать.
если маршрутизация включена, то закрывать надо!
иначе запрос пришедший снаружи на адрес 192.168.0.1 будет получен и обслужен!>Правильно написано же:
>
>http_port 192.168.0.1:3128
>
>3128 вообще снаружи не будет.
>>Не надо ничего на firewall закрывать.
>если маршрутизация включена, то закрывать надо!
>иначе запрос пришедший снаружи на адрес 192.168.0.1 будет получен и обслужен!Да как он придет-то ???
>>>Не надо ничего на firewall закрывать.
>>если маршрутизация включена, то закрывать надо!
>>иначе запрос пришедший снаружи на адрес 192.168.0.1 будет получен и обслужен!
>
>Да как он придет-то ???acl all src 0.0.0.0/0.0.0.0
acl my_net src 192.168.1.0/255.255.255.0
http_access allow my_net
http_access deny all
>>>>Не надо ничего на firewall закрывать.
>>>если маршрутизация включена, то закрывать надо!
>>>иначе запрос пришедший снаружи на адрес 192.168.0.1 будет получен и обслужен!
>>
>>Да как он придет-то ???
а почему ему не придти?
что мешает кому-то, например у провайдера или на полпути к провайдеру, прицепить свой компьютер и посылать с него http-запросы на машину со сквидом по адресу 192.168.0.1?
если маршрутизация включена, а защиты firewall-ом нет, то запрос дойдет до интерфейса сквида и будет им обслужен.
и вообще, включать маршрутизацию без защиты череповато для всей внутренней сети...>
>acl all src 0.0.0.0/0.0.0.0
>
>acl my_net src 192.168.1.0/255.255.255.0
>
>http_access allow my_net
>
>http_access deny all
если злоумышленник в вышеприведенном случае возьмет себе адрес из сети 192.168.1.0 то это не поможет.
хотя указать подобное надо для более полной защиты в других случаях.
>>Да как он придет-то ???
>
>acl all src 0.0.0.0/0.0.0.0
>
>acl my_net src 192.168.1.0/255.255.255.0
Если именно 192,168-я сеть и слушать только 192 интерфейс, то все будет нормально. В противном случае все равно будут на 3128 порт и получать отлуп, о чем будут записи в логе.
>
>http_access allow my_net
>
>http_access deny all
>
>пишешь строчки в конфиге типа таких
>http_port 192.168.0.1:3128
>http_port 127.0.0.1:3128
Я так понял сквид по этим адресам будет слушать?
ТОка проблема в том что у меня и внутренний и внешний адрес одинаковые :-(
т.е. он опять же будет слушать всех подряд :-\
Я так думаю поэтому я через асл тоже настроить не мог...
Надо ставить вторую сетевую, или как то второй адрес прикрутить
>>пишешь строчки в конфиге типа таких
>>http_port 192.168.0.1:3128
>>http_port 127.0.0.1:3128
>Я так понял сквид по этим адресам будет слушать?
ну да...>ТОка проблема в том что у меня и внутренний и внешний адрес
>одинаковые :-(
это как это?
он у тебя в локалке и имеет только внутренний адрес?
или только внешний?
в любом случае iptables/ipchains позволят тебе разделить мухи и котлеты :)>т.е. он опять же будет слушать всех подряд :-\
если он у тебя внутри локалки, то закрывать надо на том firewall-е, который закрывает твою сеть от внешнего мира
>Я так думаю поэтому я через асл тоже настроить не мог...
аксели тут нужны, но их недостаточно для хорошей защиты...>Надо ставить вторую сетевую, или как то второй адрес прикрутить
если адрес внешний то было бы неплохо... опять же iptables/ipchains будет проще настраивать...
>>ТОка проблема в том что у меня и внутренний и внешний адрес
>>одинаковые :-(
>это как это?
А вот так 8-)>>Я так думаю поэтому я через асл тоже настроить не мог...
>аксели тут нужны, но их недостаточно для хорошей защиты...
Почему? Чем http_port лучше ACL?>>Надо ставить вторую сетевую, или как то второй адрес прикрутить
>если адрес внешний то было бы неплохо... опять же iptables/ipchains будет проще
>настраивать...
вот я так и сделал, добавил сетевую, и перевел на нее всю внутреннюю сеть а на старой оставил внешнюю.
>>аксели тут нужны, но их недостаточно для хорошей защиты...
>Почему? Чем http_port лучше ACL?
потому что сквид будет слушать только те интерфейсы, которые ты укажешь в http_port.
потому что нет 100% гарантии что с внешнего интерфейса не придет нечто, что заставит сквид перестать работать или работать на кого-то еще, а не на тебя...
банальный DOS можно будет устроить, если не отключить в сквиде внешний интерфейс...