форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы Информационная безопасность (Public)
Изначальное сообщение		[Проследить за развитием треда]

"iptables пропускает лишнее"
Сообщение от vyacheslav on 31-Окт-03, 14:14  (MSK)
Здравствуйте!   Такая проблемка.   Если в настройке интернет експлорера не указать "использовать прокси", то пользователи получают доступ в интернет без запроса имени и пароля. А если указать "использовать прокси" - то все нормально - не угадал с паролем - не попал в инет.   И мне кажется что виноват в этом iptables (а не squid, например), потому что ставлю политику по умолчанию DROP для FORWFARD - сразу все нормально, без имени и пароля - никуда. Но это не совсем то, что нужно.   Подскажите, плиз, что бы еще попробовать...
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "iptables пропускает лишнее"
Сообщение от andy_coocker on 31-Окт-03, 16:30  (MSK)
>   Здравствуйте! >  Такая проблемка. >  Если в настройке интернет експлорера не указать "использовать прокси", то >пользователи получают доступ в интернет без запроса имени и пароля. А >если указать "использовать прокси" - то все нормально - не угадал >с паролем - не попал в инет. >  И мне кажется что виноват в этом iptables (а не >squid, например), потому что ставлю политику по умолчанию DROP для FORWFARD >- сразу все нормально, без имени и пароля - никуда. Но >это не совсем то, что нужно. >  Подскажите, плиз, что бы еще попробовать... Есть такая фишка как прозрачное проксирование. Т.е. клиенту нафиг не надо ничего настраивать, его запросы принудительно заворачиваються на проксю, прописал он её или нет ( обычно ничего прописывать не надо ) делается это с помощью правила redirect ipchains. Предварительно надо настроить прокси, если это squid, на прозрачное проксирование ( здесь на opennet я нашел документацию по этому поводу, настроил и забыл об этом :) Удачи.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "iptables пропускает лишнее"
	Сообщение от Михаил on 02-Ноя-03, 10:51  (MSK)
	>>   Здравствуйте! >>  Такая проблемка. >>  Если в настройке интернет експлорера не указать "использовать прокси", то >>пользователи получают доступ в интернет без запроса имени и пароля. А >>если указать "использовать прокси" - то все нормально - не угадал >>с паролем - не попал в инет. >>  И мне кажется что виноват в этом iptables (а не >>squid, например), потому что ставлю политику по умолчанию DROP для FORWFARD >>- сразу все нормально, без имени и пароля - никуда. Но >>это не совсем то, что нужно. почему же? думаю, это примерно то, что нужно, ведь пользователи выходят в инет либо через сквид, либо через НАТ. у меня в FORWARD политика именно DROP, а нужные соединения изнутри сети наружу я разрешаю соответствующими правилами... >Есть такая фишка как прозрачное проксирование. >Т.е. клиенту нафиг не надо ничего настраивать, его запросы принудительно заворачиваються на >проксю, прописал он её или нет ( обычно ничего прописывать не >надо ) >делается это с помощью правила redirect ipchains. >Предварительно надо настроить прокси, если это squid, на прозрачное проксирование ( здесь >на opennet я нашел документацию по этому поводу, настроил и забыл >об этом :) >Удачи. попробовать-то можно... только аутентификация по логину/паролю работать не будет...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "iptables пропускает лишнее"
	Сообщение от Vitaly on 02-Ноя-03, 14:26  (MSK)
	>>>  И мне кажется что виноват в этом iptables (а не >>>squid, например), потому что ставлю политику по умолчанию DROP для FORWFARD iptables -t nat -L imha, forward - не совсем из этой оперы (;
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "iptables пропускает лишнее"
	Сообщение от Михаил on 02-Ноя-03, 14:38  (MSK)
	>>>>  И мне кажется что виноват в этом iptables (а не >>>>squid, например), потому что ставлю политику по умолчанию DROP для FORWFARD > >iptables -t nat -L >imha, forward - не совсем из этой оперы (; не совсем... но и без FORWARD-а NAT работать не будет...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "iptables пропускает лишнее"
	Сообщение от vyacheslav on 03-Ноя-03, 11:32  (MSK)
	>>>   Здравствуйте! >>>  Такая проблемка. >>>  Если в настройке интернет експлорера не указать "использовать прокси", то >>>пользователи получают доступ в интернет без запроса имени и пароля. А >>>если указать "использовать прокси" - то все нормально - не угадал >>>с паролем - не попал в инет. >>>  И мне кажется что виноват в этом iptables (а не >>>squid, например), потому что ставлю политику по умолчанию DROP для FORWFARD >>>- сразу все нормально, без имени и пароля - никуда. Но >>>это не совсем то, что нужно. >почему же? думаю, это примерно то, что нужно, ведь пользователи выходят в >инет либо через сквид, либо через НАТ. > >у меня в FORWARD политика именно DROP, а нужные соединения изнутри сети >наружу я разрешаю соответствующими правилами... > > основная проблема, что я отказался от DROP по умолчанию - это то, что у некоторых юзеров инет стал жутко тормозить, и тормоза исчезли как только я заменил DROP обратно на ACCEPT. Сам я, честно говоря, тормозов не заметил, но вот такие дела. А так мне вот эта идея запретить все, а потом уже разрешать только то, что надо очень нравится. Ну а насчет тормозов при DROP можете чего-нибудь сказать?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "iptables пропускает лишнее"
	Сообщение от Михаил on 03-Ноя-03, 11:50  (MSK)
	>Ну а насчет тормозов при DROP можете чего-нибудь сказать? возможно, ты кому-то ДНС перекрываешь... но точно сказать трудно, мало данных... надо внимательно изучать правила и смотреть каждую строчку
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "iptables пропускает лишнее"
	Сообщение от vyacheslav on 03-Ноя-03, 13:05  (MSK)
	>>Ну а насчет тормозов при DROP можете чего-нибудь сказать? >возможно, ты кому-то ДНС перекрываешь... >но точно сказать трудно, мало данных... >надо внимательно изучать правила и смотреть каждую строчку Спасибо за ответ, но можно я Вас еще маленько потерзаю? Дело в том, что настраивал не я, а кто-то гораздо умнее, а разбираться - мне. Вот так оно у меня полностью выглядит: #! /bin/bash iptables -P INPUT ACCEPT iptables -P INPUT ACCEPT iptables -P FORWARD ACCEPT echo 1 > /proc/sys/net/ipv4/ip_forward iptables -F iptables -X iptables -F account 2> /dev/null iptables -X account 2> /dev/null iptables -N account iptables -A FORWARD -j account -s 192.168.0.0/16 -i eth0 iptables -A FORWARD -j account -d 192.168.0.0/16 -o eth0 iptables -A INPUT -j account -s 192.168.0.0/16 -i eth0 iptables -A OUTPUT -j account -d 192.168.0.0/16 -o eth0 >Вот здесь я нигде не нашел, что же такое -j account? iptables -A FORWARD -j ACCEPT -s 192.168.0.0/16 -d 192.168.0.0/16 OPEN_ADDRESSES='4 10 14 40' #OPEN_ADDRESSES='4 10 11 31 40' for ADDR in $OPEN_ADDRESSES do   ADDRESS='192.168.20.'$ADDR   iptables -A FORWARD -j ACCEPT -s $ADDRESS   iptables -A INPUT -j ACCEPT -s $ADDRESS done > Далее у меня аналогичным образом перечисляются все сети и адреса в > них, кому разрешено инпутить и форвадерить... iptables -A INPUT -j DROP -s 192.168.0.0/16 iptables -A FORWARD -j DROP -s 192.168.0.0/16 > Это я так понял запрещает всем, кому не разрешено iptables -A FORWARD -j DROP -s 192.168.0.0/16 -p tcp --dport 80 iptables -A FORWARD -j DROP -s 192.168.0.0/16 -p tcp --dport 21 iptables -A FORWARD -j DROP -s 192.168.0.0/16 -p tcp --dport 21 >Это, наверно, перекрывает http и ftp iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -o eth1 -j SNAT --to xxx.xxx.xxx.xxx >А это, наверно, тот самый НАТ, про который Вы говорили. Насколько я >понял, здесь происходит подмена внутренний адресов на наружный >xxx.xxx.xxx.xxx exit 0 Может быть эта информация сразу Вас на что-нибудь натолкнет...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.