forum.opennet.ru - "IPT SQUID NAT" (6)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"IPT SQUID NAT"

Форум Информационная безопасность (Linux iptables, ipchains / Linux)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"IPT SQUID NAT"	+/–
Сообщение от peering (ok) on 28-Сен-12, 08:35
Стоит Squid: transporent чтоб не замораживаться с сертификатами решил пропустить через nat 443 а так же 25,110 порт, глюк таков, гуглишь затупит 20-30 секунд потом откроет, гдет напутал,, походу и 25,110 не рабоатет modprobe ip_conntrack modprobe ip_conntrack_ftp modprobe iptable_nat modprobe ip_nat_ftp echo 1 > /proc/sys/net/ipv4/ip_forward iptables -F iptables -X iptables -t nat -F iptables -F INPUT iptables -F OUTPUT iptables -F FORWARD iptables -P INPUT DROP iptables -P FORWARD ACCEPT # localhost iptables -A INPUT -i lo -j ACCEPT # DOS iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT # Защита от спуфинга iptables -I INPUT -m conntrack --ctstate NEW,INVALID -p tcp --tcp-flags SYN,ACK SYN,ACK -j REJECT --reject-with tcp-reset # Защита от попытки открыть входящее соединение TCP не через SYN iptables -I INPUT -m conntrack --ctstate NEW -p tcp ! --syn -j DROP # Закрываемся от кривого icmp iptables -I INPUT -p icmp -f -j DROP # REL, ESTB allow iptables -A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A INPUT -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT # open squid iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT iptables -A INPUT -p tcp --dport 20 -j ACCEPT iptables -A INPUT -p tcp --dport 21 -j ACCEPT iptables -A INPUT -p tcp --dport 22 -j ACCEPT iptables -A INPUT -p tcp --dport 25 -j ACCEPT iptables -A INPUT -p udp --sport 53 -j ACCEPT iptables -A INPUT -p tcp --sport 53 -j ACCEPT iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp --dport 110 -j ACCEPT iptables -A INPUT -p tcp --dport 143 -j ACCEPT iptables -A INPUT -p tcp --dport 443 -j ACCEPT iptables -A INPUT -p tcp --dport 563 -j ACCEPT iptables -A INPUT -p icmp --icmp-type 3 -j ACCEPT #iptables -A INPUT -p icmp --icmp-type 8 -j #iptables -A INPUT -p icmp --icmp-type 8 -j LOG --log-level debug --log-prefix "PING IP_TABLES:" iptables -A INPUT -p icmp --icmp-type 11 -j ACCEPT iptables -A INPUT -p icmp --icmp-type 12 -j ACCEPT iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128 iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 8080 -j REDIRECT --to-port 3128 #iptables -t nat -A POSTROUTING -o eth1 -p tcp -j SNAT --to-source 192.168.1.162 iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A FORWARD -o eth1 -m state --state NEW -p tcp -m multiport 20,21,22,25,110,443,563 -j ACCEPT iptables -A FORWARD -m conntrack --ctstate DNAT -j ACCEPT iptables -t nat -A POSTROUTING -o eth1 -p tcp -j SNAT --to-source 192.168.1.162 [сообщение отредактировано модератором]
Ответить \| Правка \| Cообщить модератору

Оглавление

IPT SQUID NAT, PavelR, 09:10 , 28-Сен-12, (1)

IPT SQUID NAT, peering, 11:38 , 28-Сен-12, (2)

IPT SQUID NAT, reader, 12:35 , 28-Сен-12, (3)

IPT SQUID NAT, peering, 13:51 , 28-Сен-12, (4)

IPT SQUID NAT, reader, 16:43 , 28-Сен-12, (5)
IPT SQUID NAT, кегна, 18:38 , 30-Сен-12, (6)

Сообщения по теме [Сортировка по времени | RSS]

1. "IPT SQUID NAT" +/–

Сообщение от PavelR (ok) on 28-Сен-12, 09:10

ЖЖесть.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "IPT SQUID NAT" +/–

Сообщение от peering (ok) on 28-Сен-12, 11:38

Да забыл iptables -P FORWARD ACCEPT Стоит DROP

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "IPT SQUID NAT" +/–

Сообщение от reader (ok) on 28-Сен-12, 12:35

> Да забыл iptables -P FORWARD ACCEPT Стоит DROP
если локалка за eth0, то как тогда new  из нее пройдут
и чей dns в локалке прописан

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "IPT SQUID NAT" +/–

Сообщение от peering (ok) on 28-Сен-12, 13:51

>> Да забыл iptables -P FORWARD ACCEPT Стоит DROP
> если локалка за eth0, то как тогда new  из нее пройдут
> и чей dns в локалке прописан
А почему не пройдёт
iptables -A INPUT -p udp --sport 53 -j ACCEPT
iptables -A INPUT -p tcp --sport 53 -j ACCEPT
Получается  iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
нужно выше перенести ?
ДНС AD он через другой роутер ходит

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "IPT SQUID NAT" +/–

Сообщение от reader (ok) on 28-Сен-12, 16:43

>>> Да забыл iptables -P FORWARD ACCEPT Стоит DROP
>> если локалка за eth0, то как тогда new  из нее пройдут
>> и чей dns в локалке прописан
> А почему не пройдёт
> iptables -A INPUT -p udp --sport 53 -j ACCEPT
> iptables -A INPUT -p tcp --sport 53 -j ACCEPT
INPUT это для доступа к портам на самом шлюзе, транзитные пакеты идут через FORWARD
> Получается  iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
> нужно выше перенести ?
> ДНС AD он через другой роутер ходит
тогда проверяйте как быстро приходит ответ на dns запрос

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "IPT SQUID NAT" +/–

Сообщение от кегна on 30-Сен-12, 18:38

>>> Да забыл iptables -P FORWARD ACCEPT Стоит DROP
>> если локалка за eth0, то как тогда new  из нее пройдут
>> и чей dns в локалке прописан
> А почему не пройдёт
> iptables -A INPUT -p udp --sport 53 -j ACCEPT
> iptables -A INPUT -p tcp --sport 53 -j ACCEPT
> Получается  iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
> нужно выше перенести ?
> ДНС AD он через другой роутер ходит
25 и 110 через squid это моветон!! )))))))))))))))))))))))))

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "IPT SQUID NAT"	+/–
Сообщение от PavelR (ok) on 28-Сен-12, 09:10
ЖЖесть.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "IPT SQUID NAT"	+/–
	Сообщение от peering (ok) on 28-Сен-12, 11:38
	Да забыл iptables -P FORWARD ACCEPT Стоит DROP
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "IPT SQUID NAT"	+/–
	Сообщение от reader (ok) on 28-Сен-12, 12:35
	> Да забыл iptables -P FORWARD ACCEPT Стоит DROP если локалка за eth0, то как тогда new из нее пройдут и чей dns в локалке прописан
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "IPT SQUID NAT"	+/–
	Сообщение от peering (ok) on 28-Сен-12, 13:51
	>> Да забыл iptables -P FORWARD ACCEPT Стоит DROP > если локалка за eth0, то как тогда new из нее пройдут > и чей dns в локалке прописан А почему не пройдёт iptables -A INPUT -p udp --sport 53 -j ACCEPT iptables -A INPUT -p tcp --sport 53 -j ACCEPT Получается iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT нужно выше перенести ? ДНС AD он через другой роутер ходит
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "IPT SQUID NAT"	+/–
	Сообщение от reader (ok) on 28-Сен-12, 16:43
	>>> Да забыл iptables -P FORWARD ACCEPT Стоит DROP >> если локалка за eth0, то как тогда new из нее пройдут >> и чей dns в локалке прописан > А почему не пройдёт > iptables -A INPUT -p udp --sport 53 -j ACCEPT > iptables -A INPUT -p tcp --sport 53 -j ACCEPT INPUT это для доступа к портам на самом шлюзе, транзитные пакеты идут через FORWARD > Получается iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT > нужно выше перенести ? > ДНС AD он через другой роутер ходит тогда проверяйте как быстро приходит ответ на dns запрос
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "IPT SQUID NAT"	+/–
	Сообщение от кегна on 30-Сен-12, 18:38
	>>> Да забыл iptables -P FORWARD ACCEPT Стоит DROP >> если локалка за eth0, то как тогда new из нее пройдут >> и чей dns в локалке прописан > А почему не пройдёт > iptables -A INPUT -p udp --sport 53 -j ACCEPT > iptables -A INPUT -p tcp --sport 53 -j ACCEPT > Получается iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT > нужно выше перенести ? > ДНС AD он через другой роутер ходит 25 и 110 через squid это моветон!! )))))))))))))))))))))))))
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору