URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 48743
[ Назад ]

Исходное сообщение
"Подскажите, как в Linux закрыть доступ к интернет мимо Squid"
Отправлено Ak574 , 28-Сен-04 12:08

Подскажите, как в Linux закрыть доступ к интернет мимо Squid
Есть сервер-шлюз в Интернет для локальной сети, Linux Red Hat 7.2. На сервере работает система статистики. В последние пару месяцев начались большие (на 50-100 Мб в день) расхождения со статистикой провайдера. Админы провайдера отвечают, что часть трафика идет мимо того же Squid у меня, и потому не считается в моей системе статистике. Да, действительно, есть пользователи, которые в локальной сети слушают радио, причем даже при закрытом доступе в сквиде.
Вопрос: правильно я хочу решать проблему - оставить в iptables открытыми только порты 20, 21, 25, 110, 3128, все остальные порты закрыть? По каким протоколам оставить эти порты открытыми?

Содержание

Подскажите, как в Linux закрыть доступ к интернет мимо Squid,denn, 13:29 , 28-Сен-04
- Подскажите, как в Linux закрыть доступ к интернет мимо Squid,Ak574, 08:43 , 29-Сен-04
Подскажите, как в Linux закрыть доступ к интернет мимо Squid,z3f, 14:24 , 28-Сен-04
- Подскажите, как в Linux закрыть доступ к интернет мимо Squid,Ak574, 08:45 , 29-Сен-04
  - Подскажите, как в Linux закрыть доступ к интернет мимо Squid,dimus, 09:23 , 29-Сен-04
    - Я запутался - NAT, маскарадинг ....,Ak574, 10:06 , 30-Сен-04
      - Я запутался - NAT, маскарадинг ....,A Clockwork Orange, 10:14 , 30-Сен-04

Сообщения в этом обсуждении

"Подскажите, как в Linux закрыть доступ к интернет мимо Squid"
Отправлено denn , 28-Сен-04 13:29

с фаирволом рекомендуют поступать так:
закрыть все, а потом открывать по мере надобности один за одним

"Подскажите, как в Linux закрыть доступ к интернет мимо Squid"
Отправлено Ak574 , 29-Сен-04 08:43

>с фаирволом рекомендуют поступать так:
>закрыть все, а потом открывать по мере надобности один за одним
Т.е. закрывают доступ для TCP по любым портам, а затем перед этим правилом каждым отдельным правилом разрешаю, например, порты TCP 25, 110, 3128 .... Мне закрывать порты только для протокола TCP???

"Подскажите, как в Linux закрыть доступ к интернет мимо Squid"
Отправлено z3f , 28-Сен-04 14:24

Встречный вопрос - правда не по твоей теме=(
А что за система статистики тебя работает? если не секрет конечно...
С уважением z3f.

"Подскажите, как в Linux закрыть доступ к интернет мимо Squid"
Отправлено Ak574 , 29-Сен-04 08:45

Сейчас работает старая net-acct
Хочу переезжать на NetASM, пакет входит в ASP Linux, сайт кажется - www.netasm.com

"Подскажите, как в Linux закрыть доступ к интернет мимо Squid"
Отправлено dimus , 29-Сен-04 09:23

Сквид считает то, что проходит скозь него. А что у нас сидит на 21 порту? У нас сидит ФТП. А у тебя в файерволе открыта под него дыра. Юзер лезет на ftp.mp3.ru, льет оттуда гигабайты песен, а твой сквид бодро тебе докладывает - все мол в норме, так как трафик по 21 порту он не считает, а считает демон ФТП на СЕРВЕРЕ К КОТОРОМУ ЮЗЕР ЗАКОННЕКТИЛСЯ. У нас по крайней мере была такая ситуация. Я тоже сначала грешил на провайдера, пока мне не доказали, что я был не прав. Моя рекомендация - закрой фтп всем, кроме тех, кому ты доверяешь.

"Я запутался - NAT, маскарадинг ...."
Отправлено Ak574 , 30-Сен-04 10:06

Мне знакомые советую прибить маскарадинг, настроенный средствами iptables и говорят, что после это то же интернет-радио не сможет уже работать. NAT и маскарадинг это одно и то же? если я его прибью, то чем мне это грозит в плане безопасности?

"Я запутался - NAT, маскарадинг ...."
Отправлено A Clockwork Orange , 30-Сен-04 10:14

А еще можно
gateway_enable="NO" для FreeBSD
ip_forward=0 дл Linux кажется