форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Информационная безопасность (Public)
Изначальное сообщение		[Проследить за развитием треда]

"вопрос по IPTABLES"
Сообщение от Mikes (ok) on 16-Окт-04, 15:41  (MSK)
Добрый день, у меня вопрос, не могли бы вы мне помочь? у меня траф на линуксе считается отдельно Международный, Украинский и Локалка... локалка это типа всё что было закачано и скачано с сервачины... Так вот вопрос в том что когда люди прописывают в тупую проксю с портом 3128 то им считается весь траф как локальный, хотя на самом деле они ходят наружу в интернет... у меня в фаерволле прописано перенаправление с 80-го порта на 3128-й порт всех пакетов, тойсть если они не прописывают проксю, то спокойно ходят в интернет, и траф считается нормально, как можно запретить доступ к 3128 порту напрямую? тойсть мне надо сделать так что бы люди не могли заходить на мой линукс если прописывают 3128-й порт... а могли бы заходить в инет только через редирек... тойсть когда прокся не прописана... у меня стоит правило -A PREROUTING -d ! 192.168.13.0/255.255.255.192 -i eth1 -p tcp --dport 80  -j REDIRECT --to-port 3128 Это типа редирект... ещё старался сделать что то наподобии -I INPUT -i eth1 -p tcp --dport 3128 -j DROP что бы все входящие пакеты по 3128 откидывались... но когда я вводил это правило (второе) то интернет вообще не пахал, подскажите плиииз Заранее очень благодарен, и оченьизвиняюсь за свою безграмотность...
	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "вопрос по IPTABLES"
Сообщение от edwin (ok) on 17-Окт-04, 08:32  (MSK)
>-A PREROUTING -d ! 192.168.13.0/255.255.255.192 -i eth1 -p tcp --dport 80   >-j REDIRECT --to-port 3128 >Это типа редирект... >ещё старался сделать что то наподобии >-I INPUT -i eth1 -p tcp --dport 3128 -j DROP >что бы все входящие пакеты по 3128 откидывались... >но когда я вводил это правило (второе) то интернет вообще не пахал, >подскажите плиииз Конечно. у тебя 80-й порт редиректится на 3128. А ты зарубваеш 3128. Это не дело. Сделай проще: Пусти все через squid, и им-же считай траффик. Надежней будет.
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "вопрос по IPTABLES"
	Сообщение от Mikes (??) on 17-Окт-04, 12:06  (MSK)
	>>-A PREROUTING -d ! 192.168.13.0/255.255.255.192 -i eth1 -p tcp --dport 80   >>-j REDIRECT --to-port 3128 >>Это типа редирект... >>ещё старался сделать что то наподобии >>-I INPUT -i eth1 -p tcp --dport 3128 -j DROP >>что бы все входящие пакеты по 3128 откидывались... >>но когда я вводил это правило (второе) то интернет вообще не пахал, >>подскажите плиииз >Конечно. >у тебя 80-й порт редиректится на 3128. >А ты зарубваеш 3128. >Это не дело. >Сделай проще: >Пусти все через squid, и им-же считай траффик. >Надежней будет. у меня просто уже всё настроено для моей считалки, и всё переделывать как то не охота.... по идее я так понял что INPUT должен делать правило для тех пакетов которые предназначены именно для Линукса, тойсть все пакеты которые направлены непосредственно на него... а при редиректе это уже не то, тойсть это уже по идее пакет который идёт дальше... или  я чего-то не понимаю? подскажите, можно ли всё таки сделать такое правило?
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "вопрос по IPTABLES"
	Сообщение от Асен Тотин on 17-Окт-04, 19:40  (MSK)
	Привет, может, попробовать так: 1. Ставим на INPUT правило для DROP пакетов, идущих прямо на 3128. При этом пакеты на порт 80 пройдут через это правило. 2. Ставим редирект с 80-ого порта на 3128... Если это не сработает, можно подумать насчет замены REDIRECT-а DNAT-ом; вожможно, тогда понадобитсяа еще одна машина, зато проблему вы на 100%  решите. WWell,
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "вопрос по IPTABLES"
	Сообщение от Mikes (??) on 17-Окт-04, 20:03  (MSK)
	>Привет, >может, попробовать так: > >1. Ставим на INPUT правило для DROP пакетов, идущих прямо на 3128. >При этом пакеты на порт 80 пройдут через это правило. > >2. Ставим редирект с 80-ого порта на 3128... > >Если это не сработает, можно подумать насчет замены REDIRECT-а DNAT-ом; вожможно, тогда >понадобитсяа еще одна машина, зато проблему вы на 100%  решите. > > >WWell, Добрый день уважаемый, я что то не пойму... толи я слишком глуп, толи вы не читали моего сообщения, я писал: >>-A PREROUTING -d ! 192.168.13.0/255.255.255.192 -i eth1 -p tcp --dport 80  -j REDIRECT --to-port 3128 >>Это типа редирект... >>ещё старался сделать что то наподобии >>-I INPUT -i eth1 -p tcp --dport 3128 -j DROP >>что бы все входящие пакеты по 3128 откидывались... это я типа такое пытался сделать? или может вы что то не то имеете ввиду? или может я как-то правило не так написал, подскажите...
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "вопрос по IPTABLES"
	Сообщение от fantom (??) on 18-Окт-04, 11:25  (MSK)
	попробуй -I INPUT -i eth1 -p tcp  -d 192.168.xxx.xxx --dport 3128 -j DROP где 192.168.xxx.xxx - адрес в локалке твоего сервака. Таким образом будет запрет на обращение ИМЕННО К ПРОКСЕ а не на порт вообще...
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "вопрос по IPTABLES"
	Сообщение от Mikes (??) on 18-Окт-04, 13:19  (MSK)
	>попробуй >-I INPUT -i eth1 -p tcp  -d 192.168.xxx.xxx --dport 3128 -j >DROP >где 192.168.xxx.xxx - адрес в локалке твоего сервака. >Таким образом будет запрет на обращение ИМЕННО К ПРОКСЕ а не на >порт вообще... Дело в том уважаемый что этого я сделать не могу, так как моя прокся раздаёт всем интернет.... =) если я это пропишу то вся моя сетка будет без интернета =) я понимаю что эгоизм это хорошо, но всё же... =)
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	11. "вопрос по IPTABLES"
	Сообщение от fantom (??) on 20-Окт-04, 14:11  (MSK)
	>>попробуй >>-I INPUT -i eth1 -p tcp  -d 192.168.xxx.xxx --dport 3128 -j >>DROP >>где 192.168.xxx.xxx - адрес в локалке твоего сервака. >>Таким образом будет запрет на обращение ИМЕННО К ПРОКСЕ а не на >>порт вообще... > > >Дело в том уважаемый что этого я сделать не могу, так как >моя прокся раздаёт всем интернет.... =) если я это пропишу то >вся моя сетка будет без интернета =) я понимаю что эгоизм >это хорошо, но всё же... =) Могу - немогу... ПРОБОВАЛ ИЛИ НЕПРОБОВАЛ????
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "вопрос по IPTABLES"
	Сообщение от Mikes (??) on 21-Окт-04, 12:41  (MSK)
	>>>попробуй >>>-I INPUT -i eth1 -p tcp  -d 192.168.xxx.xxx --dport 3128 -j >>>DROP >>>где 192.168.xxx.xxx - адрес в локалке твоего сервака. >>>Таким образом будет запрет на обращение ИМЕННО К ПРОКСЕ а не на >>>порт вообще... >> >> >>Дело в том уважаемый что этого я сделать не могу, так как >>моя прокся раздаёт всем интернет.... =) если я это пропишу то >>вся моя сетка будет без интернета =) я понимаю что эгоизм >>это хорошо, но всё же... =) > >Могу - немогу... ПРОБОВАЛ ИЛИ НЕПРОБОВАЛ???? пробовал, интернет вообще тогда не работает...
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "вопрос по IPTABLES"
Сообщение от Сергей (??) on 18-Окт-04, 11:36  (MSK)
>ещё старался сделать что то наподобии >-I INPUT -i eth1 -p tcp --dport 3128 -j DROP >что бы все входящие пакеты по 3128 откидывались... >но когда я вводил это правило (второе) то интернет вообще не пахал, >подскажите плиииз И правильно не работает! PREPOUTING идет раньше чем INPUT и FORWARD. Так что с запросами к 3128 порту тебе нужно разбираться там. Фильтровать в PREPOUTING нельзя, но можно сделать: 1.) -A PREROUTING -d ! 192.168.13.0/255.255.255.192 -i eth1 -p tcp --dport 3128  -j REDIRECT --to-port 79 2.) -I INPUT -i eth1 -p tcp --dport 79 -j DROP ВАЖНО: правило 1. нужно поставить перед твоим прероутингом! Ну и конечно см . http://gazette.linux.ru.net/rus/articles/iptables-tutorial.html
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "вопрос по IPTABLES"
	Сообщение от Mikes (??) on 18-Окт-04, 13:14  (MSK)
	>>ещё старался сделать что то наподобии >>-I INPUT -i eth1 -p tcp --dport 3128 -j DROP >>что бы все входящие пакеты по 3128 откидывались... >>но когда я вводил это правило (второе) то интернет вообще не пахал, >>подскажите плиииз > >И правильно не работает! >PREPOUTING идет раньше чем INPUT и FORWARD. Так что с запросами к >3128 порту тебе нужно разбираться там. Фильтровать в PREPOUTING нельзя, но >можно сделать: >1.) -A PREROUTING -d ! 192.168.13.0/255.255.255.192 -i eth1 -p tcp --dport 3128 > -j REDIRECT --to-port 79 >2.) -I INPUT -i eth1 -p tcp --dport 79 -j DROP > >ВАЖНО: правило 1. нужно поставить перед твоим прероутингом! Ну и конечно см >. http://gazette.linux.ru.net/rus/articles/iptables-tutorial.html Вроде бы сделал так как вы сказали, но это правило так и не сработало, всё равно пропускает через 3128-й порт, даже не знаю чего так...
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "в высшей математике самое сложное - арифметика ;)"
	Сообщение от Сергей (??) on 18-Окт-04, 15:27  (MSK)
	... в том смысле, что горбатого могила исправит :( Ну конечно же мое правило 1. должно выглядеть так: 1.) -A PREROUTING -d gate.foo.net -i eth1 -p tcp --dport 3128 -j REDIRECT --to-port 79 где gate.foo.net - IP твоего шлюза. Ибо когда в броузере указать proxy, то пакеты шлются в адрес proxy, а не www сайта. Остальные рекомендации в силе + man tcpdump.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "в высшей математике самое сложное - арифметика ;)"
	Сообщение от Mikes (??) on 18-Окт-04, 22:41  (MSK)
	>... в том смысле, что горбатого могила исправит :( > >Ну конечно же мое правило 1. должно выглядеть так: > >1.) -A PREROUTING -d gate.foo.net -i eth1 -p tcp --dport 3128 -j >REDIRECT --to-port 79 > >где gate.foo.net - IP твоего шлюза. Ибо когда в броузере указать proxy, >то пакеты шлются в адрес proxy, а не www сайта. >Остальные рекомендации в силе + man tcpdump. и всё равно ничерта толком не выходит... =( ладно буду Маны читать... =)
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.