|
|
ВНИМАНИЕ: Използвайте форумите на сайта за дa зададете вашите въпроси.
Въпрос |
От: Razor |
Дата: 06/26/2003 |
Situaciqta e slednata,vsichki v mrejata polzvat net prez
squid-a.Znam che moje prez squid.conf da se spre dostypa na
dadeni ip-ta ot vytreshnata mreja do dadeni vynshni,no
ideqta mi e tova da stane s iptables a ne prez squid.
Ne sym mnogo na qsno kakyv e tochniq princip na
komunikaciqta na daden workstation sys squid,no probvah
slednoto neshto i to ne se poluchi:
iptables -A INPUT -s 192.168.10.10 -d 64.12.164.153 -j DROP
Syshtoto neshto go probvah i vyv FORWARD chain-a i tam
udarih pak na kamyk
iptables -A FORWARD -s 192.168.10.10 -d 64.12.164.153 -j
DROP
Nqkakvi idei?
|
Отговор #1 |
От: Kolio Kolev (kolio_kolev __@__ europe__dot__com) |
Дата: 06/26/2003 |
Ето ти един вариант за това ...
Със следните редове се разрешава достъпът на потребител с
MAC адрес XX:XX:XX:XX:XX:XX и IP адрес yy.yy.yy.yy (трябва
и двете да са верни)
/sbin/iptables -A INPUT -i eth0 -m mac --mac-source
XX:XX:XX:XX:XX:XX -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -s yy.yy.yy.yy -m mac
--mac-source ! XX:XX:XX:XX:XX:XX - j DROP
където eth0 е интерфейса ти с потребителите.
Кольо Колев
Biotronica Ltd.
|
Отговор #2 |
От: Kolio Kolev (kolio_kolev< at >europe< dot >com) |
Дата: 06/26/2003 |
Това е един вариант за блокиране по MAC адрес
XX:XX:XX:XX:XX:XX (по принцип единият ред е излишен ;) )
/sbin/iptables -A INPUT -i eth0 -m mac --mac-source
XX:XX:XX:XX:XX:XX -j DROP
/sbin/iptables -A FORWARD -i eth0 -m mac --mac-source
XX:XX:XX:XX:XX:XX -j DROP
където eth0 е интерфейса ти с потребителите.
Кольо Колев
Biotronica Ltd.
|
Отговор #3 |
От: Razor |
Дата: 06/26/2003 |
Kolio,az kato gledam nqma razlika mejdu tvoite i moite
pravila s tazi razlika che ti slagash i proverka za mac
adresa.Bi trqbvalo da raboti i samo po IP kato sledvame
logikata.Znachi za klientitte koito sym im pusnal nat nqma
problemi da im zabranqvam i razreshavam razni
site-s,problema e za tezi sys squid koito sa,che neshto tezi
pravila za tqh ne rabotqt
|
Отговор #4 |
От: fallen |
Дата: 06/26/2003 |
priqtel neshtata pri teb sa obyrkani otkym ideqta oshte.
Znachi iptables moze da filtrira vhodqshti packet-i prez
INPUT chain-a t.e. mozesh da otrezesh primerno TECHNO-LINK
IZTZQLO da ne postypva v INPUT chain-a ti, no ne mozesh da
mu kazesh da se drop-i samo za 192.168.xx.yy zashtoto kakto
si napisal ti NQMASH routeriane, a Inet-a ti minava prez
SQUID.
Edinstveniq ti variant e da napishesh ACL v Squid-a.Ne e
trudno iska samo da probvash.
btw.FORWARD chain-a ti e za MASQUERADE taka che i toi kato
INPUT ne moze da ti pomogne ako user-ite ti se vryzvat samo
prez SQUID navyn.
|
Отговор #5 |
От: Razor |
Дата: 06/26/2003 |
Fallen i az sym na tova mnenie kato tebe,no ot chisto
lubopitstvo popitah dali kato ima i squid moje da se
kontrolirat prez iptables zaqvkite na clientite koito
polzvat neta prez squid-a,inache go znam che stava prez
squid.conf
|
Отговор #6 |
От: fallen |
Дата: 06/26/2003 |
nqmash li route-rane na Inet navytre v mrezata ne mozesh
taka da gi kontrolirash.
A za MAC-predpolagam Kolev se e obyrkal poneze chesto ima
zaqvki tuk ot sorta na "userite si smenqt IP-tata i kradat
INET" i za tova ti go e napisal predpolagam.
Za Squid-a taka si sedqt neshtata - shte trqbva mai da se
primirish ili da pochnesh da route-rash i da pravish
ogranicheniqta po iptables.
Spored men Squid e dostatychno moshten da go napravish nego
da ogranichava.
Uspehi pri ACLs :))
|
Отговор #8 |
От: Razor |
Дата: 06/26/2003 |
Mersi Koli,to ne beshe problem da si go napravq sam kakto i
napravih de,no vse pak mersi.
Iskah samo da opitam dali moga po nqkakyv nachin da
izpolzvam iptables za ogranichavane dostypa na userite preza
squid do dadeni sites naprimer.
Samo che kakto se okazva che mai mai nemoje,to togava ako
imam iptables i squid to iptables se okazva bezsilen ot
stranata na userite-ako sym razbral pravilno de ?
|
Отговор #9 |
От: SGM (sgm__at__abv__dot__bg) |
Дата: 06/26/2003 |
Абе момчета, става доста по-лесно (ако не използва
transperant proxy де).
==> iptables -A INPUT -s [workstation_ip] -d [squid ip] -p
tcp --dport [sqiud-port] -j DROP
Аре със здраве
|
Отговор #10 |
От: of-of |
Дата: 06/26/2003 |
Razor, taka kato te slusham mai ne ti e bilo iasno kakvo
tochno pravi Squid-a.
Znachi toi browsva vmesto klienta, otvaria URL-a vmesto
klienta i posle go PRE-predava na klienta. Samia klient
prashta zaiavkite do Squid mashinata i ot neia si poluchava
i otgovora, t.e. klienta si obshtuva samo i edinstveno s
edno IP - tova na proxito. Togava kak sas iptables shte
slagash pravila na klienta???
|
Отговор #11 |
От: Razor |
Дата: 06/26/2003 |
Abe na mene mi e qsno no mi beshe interesno dali moga po
nqkakyv nachin da preseka komunikaciqta na clienta sys
squida kato sloja nqkakyv rule na input chaina ot kym
LAN-a.Tova shte reche sega kato gledam mneniqta che ima li
squid prosto iptables ne vaji ot stranata na LAN-a i po
konkretno za input chain-a zashtoto edinstvenoto logichno
mqsto da preseka po nqkakyv nachin komunikaciqta e tochno
INPUT-a
|
Отговор #12 |
От: Rosi |
Дата: 06/26/2003 |
Priemete edin komentar: dosta ste dosadni s tova koi kakvo
iskal da kaje i kakvo to4no bil si mislel i kak to4no go
zasukal, pyk toi takova i onakova...
I niakoi hora praviat to4no kakvoto se ochakva v tozi
forum - da kajat tolkova kolkoto znaiat ako iskat. Evala na
tiah! A drugi - se 4udiat kak i kogo da izkritikuvat, za
tova, 4e znael ili ne kak rabotiat neshtata. /Mai i az sega
kritikuvam ama to ve4e ne se tyrpi./
A sega po temata: ideiata ti Razor e interesna, no sled
kato pusnah edin tcpdump na paketi nasocheni kym edin proxy
server stignah do prostoto zakluchenie: v zaglavnata chast
na vyprosnie ip paketi sorsa e 192.168.10.10 /client/, a
destination-a e 192.168.10.1 /ip-to na squida/. Nikyde tam
ne se spomenava, 4e ti iskash da se svyrjesh s
www.domain.com. Tazi informacia e v tialoto na paketa, a
iptables tam ne gleda. Tova e. Dali ima nachin da poglednesh
tam - ne znam! Priemam komentari, zashtoto za kazanoto
po-gore ne sym siguren 100%.
|
Отговор #13 |
От: mutant |
Дата: 06/26/2003 |
za trasparent proxy li ide rech ?
ako e za trasparent tia deny rulove trea da sa ti predi
redirect rule inache nishto ne praish squida si gi gulta
ako ne e transparent proxy sorry :> ama mai ne vijdam nachin
|
Отговор #14 |
От: Razor |
Дата: 06/27/2003 |
Rosi,mersi pich,i az do takova mnenie stignah no samo po
pytq na logikata de,i tykmo shtqh da pitam nqkoi dali znae
tochno kak e formulirana zaqvkata kym proxy server
:)),zashtoto drugo logichno obqsnenie prosto ne namirah.
Mersi mnogo za izkazanite mneniq
|
<< iproute2 ili zebra ? (6
) | Moga li da kontroliram ostanalite komputri (3
) >>
|
|
|
|
|