The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"почему через прокси работают все кому не лень"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Настройка Squid и других прокси серверов (ACL, блокировки)
Изначальное сообщение [ Отслеживать ]

"почему через прокси работают все кому не лень"  +/
Сообщение от VitekK email on 23-Дек-11, 15:35 
в файле squid.conf следующие строчки
http_ports 3128

visible_hostname vitek-proxy

# acl <name> src <host or subnet>
acl allowed_hosts src a.b.c.d/32
acl allowed_subnet src 192.168.39.0/24
acl gold src q.w.e.r/32
acl localhost src 127.0.0.1/32

acl all src all

# port ICQ SSL
acl icq_ports port 443 563 5190

# port http ftp
acl open_ports port 80 8000 # http
acl open_ports port 21 # ftp


# dostup
http_access allow icq_ports
http_access allow open_ports

http_access allow localhost
http_access allow allowed_hosts
http_access allow allowed_subnet
http_access allow gol

http_access deny all

a.b.c.d - внешний "светлый" IP
через прокси прокачали около 5 терабайт за месяц и совершенно не с тех хостов и с подсетки что описаны в правилах, а с внешних типа 78.30.193.20 210.213.141.181 216.59.9.226

Вопрос - ПОЧЕМУ????????

кроме прокси на компе прописаны правила iptables
iptables -F
iptables -t nat -F

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

export LAN=eth1
export WAN=eth4

iptables -I INPUT 1 -i ${LAN} -j ACCEPT
iptables -I INPUT 1 -i lo -j ACCEPT

iptables -A INPUT -p TCP --dport ssh -i ${WAN} -j ACCEPT
iptables -A INPUT -p TCP --dport ssh -i ${LAN} -j ACCEPT

iptables -I FORWARD -i ${LAN} -d 192.168.39.0/255.255.255.0 -j DROP
iptables -A FORWARD -i ${LAN} -s 192.168.39.0/255.255.255.0 -j ACCEPT
iptables -A FORWARD -i ${WAN} -d 192.168.39.0/255.255.255.0 -j ACCEPT
iptables -t nat -A POSTROUTING -o ${WAN} -j MASQUERADE

echo 1 > /proc/sys/net/ipv4/ip_forward
for f in /proc/sys/net/ipv4/conf/*/rp_filter ; do echo 1 > $f ; done

хорошо хоть безлимитный тариф, а то присел бы на бабки не хило

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "почему через прокси работают все кому не лень"  +/
Сообщение от tuxic (ok) on 23-Дек-11, 15:45 
>[оверквотинг удален]
> iptables -I INPUT 1 -i lo -j ACCEPT
> iptables -A INPUT -p TCP --dport ssh -i ${WAN} -j ACCEPT
> iptables -A INPUT -p TCP --dport ssh -i ${LAN} -j ACCEPT
> iptables -I FORWARD -i ${LAN} -d 192.168.39.0/255.255.255.0 -j DROP
> iptables -A FORWARD -i ${LAN} -s 192.168.39.0/255.255.255.0 -j ACCEPT
> iptables -A FORWARD -i ${WAN} -d 192.168.39.0/255.255.255.0 -j ACCEPT
> iptables -t nat -A POSTROUTING -o ${WAN} -j MASQUERADE
> echo 1 > /proc/sys/net/ipv4/ip_forward
> for f in /proc/sys/net/ipv4/conf/*/rp_filter ; do echo 1 > $f ; done
> хорошо хоть безлимитный тариф, а то присел бы на бабки не хило

acl all src 0.0.0.0/0.0.0.0

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "почему через прокси работают все кому не лень"  +/
Сообщение от reader (ok) on 23-Дек-11, 16:26 
>[оверквотинг удален]
> acl localhost src 127.0.0.1/32
> acl all src all
> # port ICQ SSL
> acl icq_ports port 443 563 5190
> # port http ftp
> acl open_ports port 80 8000 # http
> acl open_ports port 21 # ftp
> # dostup
> http_access allow icq_ports
> http_access allow open_ports

после этого мало что будет проверяться

>[оверквотинг удален]
> iptables -I INPUT 1 -i lo -j ACCEPT
> iptables -A INPUT -p TCP --dport ssh -i ${WAN} -j ACCEPT
> iptables -A INPUT -p TCP --dport ssh -i ${LAN} -j ACCEPT
> iptables -I FORWARD -i ${LAN} -d 192.168.39.0/255.255.255.0 -j DROP
> iptables -A FORWARD -i ${LAN} -s 192.168.39.0/255.255.255.0 -j ACCEPT
> iptables -A FORWARD -i ${WAN} -d 192.168.39.0/255.255.255.0 -j ACCEPT
> iptables -t nat -A POSTROUTING -o ${WAN} -j MASQUERADE
> echo 1 > /proc/sys/net/ipv4/ip_forward
> for f in /proc/sys/net/ipv4/conf/*/rp_filter ; do echo 1 > $f ; done
> хорошо хоть безлимитный тариф, а то присел бы на бабки не хило

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "почему через прокси работают все кому не лень"  +/
Сообщение от Дмитрий (??) on 23-Дек-11, 17:09 
>[оверквотинг удален]
> iptables -I INPUT 1 -i lo -j ACCEPT
> iptables -A INPUT -p TCP --dport ssh -i ${WAN} -j ACCEPT
> iptables -A INPUT -p TCP --dport ssh -i ${LAN} -j ACCEPT
> iptables -I FORWARD -i ${LAN} -d 192.168.39.0/255.255.255.0 -j DROP
> iptables -A FORWARD -i ${LAN} -s 192.168.39.0/255.255.255.0 -j ACCEPT
> iptables -A FORWARD -i ${WAN} -d 192.168.39.0/255.255.255.0 -j ACCEPT
> iptables -t nat -A POSTROUTING -o ${WAN} -j MASQUERADE
> echo 1 > /proc/sys/net/ipv4/ip_forward
> for f in /proc/sys/net/ipv4/conf/*/rp_filter ; do echo 1 > $f ; done
> хорошо хоть безлимитный тариф, а то присел бы на бабки не хило

Может немного не про то, но у тебя
iptables -P INPUT ACCEPT (то есть что не запрещено то разрешено)
то есть по умолчанию на вход всем можно.
потом идут еще разрешения
> iptables -I INPUT 1 -i ${LAN} -j ACCEPT
> iptables -I INPUT 1 -i lo -j ACCEPT
> iptables -A INPUT -p TCP --dport ssh -i ${WAN} -j ACCEPT
> iptables -A INPUT -p TCP --dport ssh -i ${LAN} -j ACCEPT

а вот дропа в конце цепочки INPUT нету

А по твоему то можно так
слушаешь только на внутреннем адресе
http_port <внутренний адрес>:3128
ну и
acl allowed_hosts src <сеть и маска кому разрешаешь>
и
http_access     allow  allowed_hosts
а в конце после всех аллоу
http_access    deny            all
ДА и верни
acl all src 0.0.0.0/0.0.0.0
это просто назначение acl all  на любые исходящие
ДА!!!!!!!!!!!!!!!!! И ВЕРНИ а то тебе насоветуют
acl all src 0.0.0.0/0.0.0.0
это просто назначение acl all  на любые исходящие

И разрешаешь на 3128 порт только из тех сетей что надо
iptables -A INPUT -p TCP --dport 3128 -i ${LAN} -j ACCEPT
Ну и Дроп в конце цепочки INPUT
iptables -A INPUT  -j DROP
На вскидку как-то так

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "почему через прокси работают все кому не лень"  +/
Сообщение от кегна on 23-Дек-11, 19:10 
>[оверквотинг удален]
> iptables -I INPUT 1 -i lo -j ACCEPT
> iptables -A INPUT -p TCP --dport ssh -i ${WAN} -j ACCEPT
> iptables -A INPUT -p TCP --dport ssh -i ${LAN} -j ACCEPT
> iptables -I FORWARD -i ${LAN} -d 192.168.39.0/255.255.255.0 -j DROP
> iptables -A FORWARD -i ${LAN} -s 192.168.39.0/255.255.255.0 -j ACCEPT
> iptables -A FORWARD -i ${WAN} -d 192.168.39.0/255.255.255.0 -j ACCEPT
> iptables -t nat -A POSTROUTING -o ${WAN} -j MASQUERADE
> echo 1 > /proc/sys/net/ipv4/ip_forward
> for f in /proc/sys/net/ipv4/conf/*/rp_filter ; do echo 1 > $f ; done
> хорошо хоть безлимитный тариф, а то присел бы на бабки не хило

можно посмотреть вывод комманды:
sudo netstat -antup | grep 3128   ?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру