aldar
04-12-2013, 07:51
Здравствуйте!
squid на убунту.
http://s22.postimg.org/43uok70ox/proxy.jpg
У клиентов ip-address proxy прописывается только в браузере. Шлюзом же указывается внутренний файервол.
Некоторые клиенты сидят в одной сети с прокси сервером. Требуется закрыть прямой доступ к прокси серверу с его обоих интерфейсов посредствам iptables самого прокси. Оставив только http port. То есть если у клиента шлюзом указать прокси сервер, его не пускало в интернет. Но если этот же клиент лезит через файервол - его пропускало.
iptables -A FORWARD -i ${INT} -o $EXT -s ${INT_BCAST} -j ACCEPT
iptables -A FORWARD -i ${EXT} -m state --state ESTABLISHED,RELATED -j ACCEPT
Если $INT_BCAST задать только ip адрес файервола, клиентам закрыт доступ в инет.
Если $INT_BCAST задать клиентов, то клиенты сидящие с файерволом в одной сети, могут заходить в интернет обходя файервол, поставив его основным шлюзом.
squid на убунту.
http://s22.postimg.org/43uok70ox/proxy.jpg
У клиентов ip-address proxy прописывается только в браузере. Шлюзом же указывается внутренний файервол.
Некоторые клиенты сидят в одной сети с прокси сервером. Требуется закрыть прямой доступ к прокси серверу с его обоих интерфейсов посредствам iptables самого прокси. Оставив только http port. То есть если у клиента шлюзом указать прокси сервер, его не пускало в интернет. Но если этот же клиент лезит через файервол - его пропускало.
iptables -A FORWARD -i ${INT} -o $EXT -s ${INT_BCAST} -j ACCEPT
iptables -A FORWARD -i ${EXT} -m state --state ESTABLISHED,RELATED -j ACCEPT
Если $INT_BCAST задать только ip адрес файервола, клиентам закрыт доступ в инет.
Если $INT_BCAST задать клиентов, то клиенты сидящие с файерволом в одной сети, могут заходить в интернет обходя файервол, поставив его основным шлюзом.