На серваке, который является брандмауэром (на iptables), работает Squid. Юзеры ходят в инет через него. Политика для цепочки INPUT по умолчанию DROP. Какие порты надо открыть на внешнем интерфейсе, чтобы можно было выходить в инет.
открытие --dport 80 и --dport 8080 не помогло :-/
>На серваке, который является брандмауэром (на iptables), работает Squid. Юзеры ходят в
>инет через него. Политика для цепочки INPUT по умолчанию DROP. Какие
>порты надо открыть на внешнем интерфейсе, чтобы можно было выходить в
>инет.
>открытие --dport 80 и --dport 8080 не помогло :-/
разумеется порт сквида, обычно 3128 ,
порты 0:1023 кроме нужных закрой (25 110 20 21 3128 открой ), порты 1024:65535 можно открыть
>>На серваке, который является брандмауэром (на iptables), работает Squid. Юзеры ходят в
>>инет через него. Политика для цепочки INPUT по умолчанию DROP. Какие
>>порты надо открыть на внешнем интерфейсе, чтобы можно было выходить в
>>инет.
>>открытие --dport 80 и --dport 8080 не помогло :-/>разумеется порт сквида, обычно 3128 ,
>порты 0:1023 кроме нужных закрой (25 110 20 21 3128 открой ),
>порты 1024:65535 можно открыть3128 - это порт сквида для входящих запросов из внутренней сетки. Наружу сквид отправляет запросы уже не с этого порта. Кроме того вход 3128 извне рекомендуют закрыть! 25 и 110 - это вообще почтовые протоколы и сквид с ними никак не работает. Насколько я понял, сквид наружу работает как обычный http и ftp клиент. ?
>>>На серваке, который является брандмауэром (на iptables), работает Squid. Юзеры ходят в
>>>инет через него. Политика для цепочки INPUT по умолчанию DROP. Какие
>>>порты надо открыть на внешнем интерфейсе, чтобы можно было выходить в
>>>инет.
>>>открытие --dport 80 и --dport 8080 не помогло :-/
>
>>разумеется порт сквида, обычно 3128 ,
>>порты 0:1023 кроме нужных закрой (25 110 20 21 3128 открой ),
>>порты 1024:65535 можно открыть
>
>3128 - это порт сквида для входящих запросов из внутренней сетки. Наружу
>сквид отправляет запросы уже не с этого порта. Кроме того вход
>3128 извне рекомендуют закрыть! 25 и 110 - это вообще почтовые
>протоколы и сквид с ними никак не работает. Насколько я понял,
>сквид наружу работает как обычный http и ftp клиент. ?сквид это чистый http прокси и с ftp over http ! чистые ftp клиенты через него не пашут.
извне порт сквид закрывается в конфиге сквида слушанием на локальном ip
http_port 1921.168.0.2:3128
про те порты я тебе в целом говорил, а не касатально сквида
>>>разумеется порт сквида, обычно 3128 ,
>>>порты 0:1023 кроме нужных закрой (25 110 20 21 3128 открой ),
>>>порты 1024:65535 можно открыть
>>
>сквид это чистый http прокси и с ftp over http ! чистые
>ftp клиенты через него не пашут.
Да, да, точно...
>извне порт сквид закрывается в конфиге сквида слушанием на локальном ip
>http_port 1921.168.0.2:3128Т.е исходящий порт у него тоже 3128? А в таком разе получается - он
слушает порт 3128 только на хосте 192.168.0.2....Или это только
запросы на подключения слушаются, а ответ на этот порт все равно примется с любого хоста? Если так, то
iptables -A INPUT -p tcp --sport 80 --dport 3128 -j ACCEPT
поможет? Ну и кроме 80, еще пожалуй 443 и 8080....PS:
Кстати, вот цитата из книжки "Безопасность линукс. Секреты хакеров"
"Прежде всего, установите правила для брандмауэра, которые бы
блокировали обращение удаленных компьютеров к порту 3128 (порт,
используемый Squid-сервером)" ...... (с)
:-/
>>>>разумеется порт сквида, обычно 3128 ,
>>>>порты 0:1023 кроме нужных закрой (25 110 20 21 3128 открой ),
>>>>порты 1024:65535 можно открытьПоможите, плиз, а то я что-то зашился... Что-то где-то забываю, потому как только ставлю iptables -P INPUT ACCEPT, все становится замечательно.
Сейчас в цепочке INPUT запрещены - DROP на:
137:139 - NetBios,
67:68 - bootp,
224.0.0.0 - мультикасты,
на адрес 0.0.0.0,
на 255.255.255.255,
пакеты с установленным SYN (активное подключение),ACCEPT на:
tcp 80,8080,
tcp 3128,
udp 53 с адреса ДНС провайдера,
icmp для пингов,
-i eth0 - все с внутреннего интерфейса,
-i lo.Что-то где-то не догоняю, потому как политика по умолчанию все решает.
HELP!