в файле squid.conf следующие строчки
http_ports 3128visible_hostname vitek-proxy
# acl <name> src <host or subnet>
acl allowed_hosts src a.b.c.d/32
acl allowed_subnet src 192.168.39.0/24
acl gold src q.w.e.r/32
acl localhost src 127.0.0.1/32
acl all src all
# port ICQ SSL
acl icq_ports port 443 563 5190
# port http ftp
acl open_ports port 80 8000 # http
acl open_ports port 21 # ftp
# dostup
http_access allow icq_ports
http_access allow open_ports
http_access allow localhost
http_access allow allowed_hosts
http_access allow allowed_subnet
http_access allow gol
http_access deny all
a.b.c.d - внешний "светлый" IP
через прокси прокачали около 5 терабайт за месяц и совершенно не с тех хостов и с подсетки что описаны в правилах, а с внешних типа 78.30.193.20 210.213.141.181 216.59.9.226
Вопрос - ПОЧЕМУ????????
кроме прокси на компе прописаны правила iptables
iptables -F
iptables -t nat -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
export LAN=eth1
export WAN=eth4
iptables -I INPUT 1 -i ${LAN} -j ACCEPT
iptables -I INPUT 1 -i lo -j ACCEPT
iptables -A INPUT -p TCP --dport ssh -i ${WAN} -j ACCEPT
iptables -A INPUT -p TCP --dport ssh -i ${LAN} -j ACCEPT
iptables -I FORWARD -i ${LAN} -d 192.168.39.0/255.255.255.0 -j DROP
iptables -A FORWARD -i ${LAN} -s 192.168.39.0/255.255.255.0 -j ACCEPT
iptables -A FORWARD -i ${WAN} -d 192.168.39.0/255.255.255.0 -j ACCEPT
iptables -t nat -A POSTROUTING -o ${WAN} -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
for f in /proc/sys/net/ipv4/conf/*/rp_filter ; do echo 1 > $f ; done
хорошо хоть безлимитный тариф, а то присел бы на бабки не хило
Вариант для распечатки
on 23-Дек-11, 15:35 
