 |
|
Народ. Помотиге разобраться с iptables
Написал такой скрипт:
#!/bin/sh
LAN="eth1"
LANNET="10.10.1.0/24"
LANIP="10.10.1.77"
WAN="eth2"
WANIP=X.X.X.X"
IPTABLES="/sbin/iptables"
$IPTABLES -F INPUT
$IPTABLES -F FORWARD
$IPTABLES -F OUTPUT
$IPTABLES -t nat -F PREROUTING
$IPTABLES -t nat -F PPOSTROUTING
$IPTABLES -t mangle -F
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT DROP
#------------------------------------------------------------------------------
$IPTABLES -A INPUT -s $LANNET -p tcp -d $LANIP -m multiport --dport 22,80,403,443,3128,8080,8081 -j ACCEPT
$IPTABLES -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 3128
$IPTABLES -t nat -A PREROUTING -p tcp --dport 8080 -j REDIRECT --to-ports 3128
$IPTABLES -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-ports 3128
$IPTABLES -t nat -A PREROUTING -p tcp --dport 403 -j REDIRECT --to-ports 3128
$IPTABLES -t nat -A PREROUTING -p tcp --dport 8081 -j REDIRECT --to-ports 3128
$IPTABLES -t nat -A PREROUTING -p tcp --dport 2802 -j REDIRECT --to-ports 3128
$IPTABLES -t nat -A PREROUTING -p tcp --dport 1578 -j REDIRECT --to-ports 3128
$IPTABLES -t nat -A POSTROUTING -o $WAN -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -o $WAN -j SNAT --to-source $WANIP
echo "1" > /proc/sys/net/ipv4/ip_forward
При выполнении пишет:
iptables: No chain/target/math by that name.
Скрипт пробный и уже на этом шаге столкнулся с проблемой.
От руки все нормально вводится и при iptables -L показываются таблицы с введенными правилами.
Ос. Debian 4.
Нужные модули ядра загружены.
Понимаю, что ситуация простая, но я в Линуксе новичек. Помогите, если не сложно.
|
| BuGfiX |
06-08-2008 14:56 869454 |
Цитата:
Цитата RFox
$IPTABLES -t nat -F PPOSTROUTING »
|
Опечатка |
| TimurNS |
07-08-2008 07:46 869971 |
При выполении данного скрипта на моей машине были выявлены следующие ошибки (заранее приношу извинения гуру данного сайта за то что буду говорить о мелочах, которые многим и так понятны. моя цель - найти и исправить ошибку):
1. Если просто скопировать этот скрипт из браузера в текстовый файл, а потом посмотреть в текстовом редакторе, то в каждой строке перед переносом строки стоит символ ^M - его нужно убрать.
2. Ошибка в том что у меня не было интерпретатора /bin/sh, но был /bin/bash
3. После первой строки #!/bin/bash должно быть 2 enter'а:
#!/bin/bash
(можно посмотреть в любом редакторе, к примеру Edit у Midnight Commander'а - там для этой строки будет чёрный фон)
4. В строке
WANIP=X.X.X.X"
не хватает открывающейся кавычки
5. Как уже было сказано выше в строке:
$IPTABLES -t nat -F PPOSTROUTING
опечатка: PPOSTROUTING
Примечание: данный ответ (iptables: No chain/target/math by that name.) показывался до того как я поставил открывающуюся кавычку на своё место.
Надеюсь это поможет :)
|
| BuGfiX |
07-08-2008 11:16 870113 |
Да, кавычку не заметил :)
Цитата:
Цитата TimurNS
2. Ошибка в том что у меня не было интерпретатора /bin/sh, но был /bin/bash »
|
Обычно /bin/sh является символической ссылкой на /bin/bash (или другой интерпретатор).
Цитата:
Цитата TimurNS
3. После первой строки #!/bin/bash должно быть 2 enter'а: »
|
Это вовсе не обязательно.
Использование редакторов с подсветкой синтаксиса является хорошим способом выявления таких ошибок, и я бы посоветовал Вам научиться использовать vim, т.к. в нем с этим намного лучше чем в mc. |
Спасибо всем. Действительно опечатку не заметил. Ну и пункт 3 из ответа TimurNS.
|
| TimurNS |
07-08-2008 12:38 870182 |
2BuGfiX:
Дело в том, что проверял на Kubuntu Gutsy.
О том, что /bin/sh зачастую является ссылкой на /bin/bash знаю, но видимо в моём случае это не так.
Ещё раз подчёркиваю, что целью моего исследования было не ещё раз разобраться к концепциях, используемых в OS Linux, а решить проблему со скриптом.
Кроме того в самом начале было написано, но прошу не воспринимать всерьёз мелочи, которых буду касаться.
Про vi и vim знаю - работал не раз. Какое-то время мне это даже нравилось.
А вы, BuGfiX, собирали Linux из LFS?
|
| BuGfiX |
07-08-2008 12:51 870196 |
Нет, не собирал, но в курсе что например, такие вещи как симлинки, существующие "из коробки" в большистве дистрибутивов , там могут отсутствовать. Думаю проблема решена, и если есть желание поговорить про LFS - охотно поговорю в другой теме :-)
|
Ответтьте здесь еще на один вопрс.
#!/bin/sh
LAN="eth1"
LANNET="10.10.1.0/24"
LANIP="10.10.1.77"
IPTABLES="/sbin/iptables"
$IPTABLES -F INPUT
$IPTABLES -F FORWARD
$IPTABLES -F OUTPUT
$IPTABLES -t nat -F PREROUTING
$IPTABLES -t nat -F PPOSTROUTING
$IPTABLES -t mangle -F
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT DROP
#------------------------------------------------------------------------------
$IPTABLES -A INPUT -s $LANNET -p tcp -d $LANIP --dport 22 -j ACCEPT
Почему не соединяется по ssh?
iptables -L выводит:
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- 10.10.1.0/24 10.10.1.1 tcp dpt:ssh
Chain FORWARD (policy DROP)
target prot opt source destination
Chain OUTPUT (policy DROP)
target prot opt source destination
По логам идет обращение на 22 порт.
|
| BuGfiX |
07-08-2008 14:32 870298 |
У Вас разрешены только входящие пакеты на 22-й порт, нужно разрешить еще и исходящие.
Нужно добавить правило в OUTPUT:
$IPTABLES -A OUTPUT -s $LANIP -p tcp -d $LANNET --sport 22 -j ACCEPT
либо
$IPTABLES -A OUTPUT -s $LANIP -p tcp -d $LANNET -m state --state RELATED,ESTABLISHED -j ACCEPT
|
Спасибо всем, кто помог.
Зацените первый вариант скрипта:
#!/bin/sh
WAN_IFACE="eth2"
WAN_IP="x.x.x.x"
LAN_IFACE="eth1"
LAN_IP_RANGE="10.10.1.0/24"
LAN_IP="10.10.1.77"
LO_IFACE="lo"
LO_IP="127.0.0.1"
IPTABLES="/sbin/iptables"
###################################################################################
$IPTABLES -F INPUT
$IPTABLES -F FORWARD
$IPTABLES -F OUTPUT
$IPTABLES -t nat -F PREROUTING
$IPTABLES -t nat -F POSTROUTING
$IPTABLES -t mangle -F
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT DROP
#INPUT####################################
$IPTABLES -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
$IPTABLES -A INPUT -d $WAN_IP -p tcp --syn -j DROP
$IPTABLES -A INPUT -p ALL -i $LAN_IFACE -s $LAN_IP_RANGE -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LO_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LAN_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $WAN_IP -j ACCEPT
#DHCP-------------------------
$IPTABLES -A INPUT -p UDP -i $LAN_IFACE --dport 67 --sport 68 -j ACCEPT
#Rules for incoming packets from the internet
$IPTABLES -A INPUT -p ALL -d $WAN_IP -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPTables INPUT packet died: "
########FORWARD###############################
$IPTABLES -A FORWARD -i $LAN_IFACE -j ACCEPT
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
######OUTPUT##################################
$IPTABLES -A OUTPUT -p ALL -s $LO_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $LAN_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $WAN_IP -j ACCEPT
#------------------------------------------------------------------------------
$IPTABLES -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 3128
$IPTABLES -t nat -A PREROUTING -p tcp --dport 8080 -j REDIRECT --to-ports 3128
$IPTABLES -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-ports 3128
$IPTABLES -t nat -A PREROUTING -p tcp --dport 403 -j REDIRECT --to-ports 3128
$IPTABLES -t nat -A PREROUTING -p tcp --dport 8081 -j REDIRECT --to-ports 3128
$IPTABLES -t nat -A PREROUTING -p tcp --dport 2802 -j REDIRECT --to-ports 3128
$IPTABLES -t nat -A PREROUTING -p tcp --dport 1578 -j REDIRECT --to-ports 3128
$IPTABLES -t nat -A POSTROUTING -o $WAN_IFACE -j SNAT --to-source $WAN_IP
echo "1" > /proc/sys/net/ipv4/ip_forward
Комп используется как шлюз, прозрачный прокси (squid), dhcp сервер, dns сервер, apache (web- интерфейс SAMS).
Хотелось бы закрыть не нужные порты из локалки и для форвардинга, но не знаю точно какие.
Также не очень понятно с журналированием. Как правильно его сюда вписать?
Есть несколько вопросов:
|
| Аlchemist |
02-09-2008 11:50 889139 |
Цитата:
Цитата RFox
$IPTABLES -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-ports 3128 »
|
в случае использования squid сомневаюсь что это будет работать
Цитата:
Цитата RFox
Хотелось бы закрыть не нужные порты из локалки и для форвардинга, но не знаю точно какие. »
|
имеет смысл просто открыть нужные, а все остальное запретить
Цитата:
Цитата RFox
Также не очень понятно с журналированием. Как правильно его сюда вписать? »
|
присоединяюсь, тож не понял... другое дело во фряхе на ipfw...
Цитата:
Цитата RFox
Есть несколько вопросов: »
|
дык задавай... |
| BuGfiX |
02-09-2008 12:00 889146 |
Цитата:
Цитата RFox
Хотелось бы закрыть не нужные порты из локалки и для форвардинга, но не знаю точно какие. »
|
Как минимум - tcp/25, т.к. компы в локалке имеют привычку цеплять вирусы/трояны и могут спамить, из-за чего Вы можете попасть в блеклисты.
Цитата:
Цитата RFox
Также не очень понятно с журналированием. Как правильно его сюда вписать? »
|
А вот это разве не оно?
$IPTABLES -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPTables INPUT packet died: " |
| Аlchemist |
02-09-2008 12:27 889162 |
Цитата:
Цитата BuGfiX
А вот это разве не оно?
$IPTABLES -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPTables INPUT packet died: " »
|
Куда он все это пишет и что за лимиты? |
| Аlchemist |
02-09-2008 13:38 889229 |
Разобрался с лимтами. Требуется модуль CONFIG_IP_NF_MATCH_LIMIT.
Логи пишет в kern.log
Как бы в другое место перенаправить?
|
Несколько вопросов:
1. Как сделать, что-бы логи очищались?
2. Строку:
$IPTABLES -A ALL -p tcp -i $LAN_IFACE -s $LAN_IP_RANGE -j ACCEPT
заменил на:
$IPTABLES -A INPUT -p tcp -i $LAN_IFACE -s $LAN_IP_RANGE -m multiport --dport 22,80,3128 -j ACCEPT
$IPTABLES -A INPUT -p UDP -i $LAN_IFACE -s $LAN_IP_RANGE -j ACCEPT
$IPTABLES -A INPUT -p ICMP -i $LAN_IFACE -s $LAN_IP_RANGE -j ACCEPT
Вопрос: нужно ли разрешать входящий UDP траффик со стороны локалки? Чем он может использоваться?
Какое правило в INPUT нужно добавить, если на компе стоит DNS сервер?
|
| Аlchemist |
04-09-2008 15:24 890885 |
Цитата:
Цитата RFox
Вопрос: нужно ли разрешать входящий UDP траффик со стороны локалки? »
|
Да, нужно, если:
Цитата:
Цитата RFox
на компе стоит DNS сервер? »
|
:)
Цитата:
Цитата RFox
Какое правило в INPUT нужно добавить, »
|
нужно открыть 53 порт UDP и если происходит зонная передача 53 TCP |
| MrFree |
09-09-2008 13:49 894533 |
Суть проблемы та же, но вот беда, ip динамический...
Мне написал знакомый скрипт, но что то не так. (не форварда, ни даже заворота на прокси...)
Установлен dnsmasq, локально инет работает, если прокси в браузере прописать с другой машины тоже.
при попытке пинговать с удаленной машины по имени, ip адрес получен, но пинги запрещены.
Вот собственно основные конфиги
Скрипт iptables.sh
читать дальше »
Код:
#!/bin/bash
lan_interface=eth0
dsv_interface=eth1
world_interface=ppp0
# прописано как положено, раскомментил в стартовых скриптах.
#echo "1" > /proc/sys/net/ipv4/ip_forward
## flush iptables rules ##
iptables -F
iptables -t filter -F
iptables -t filter -X
iptables -t nat -F
iptables -t nat -X
## DROP polices ##
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
iptables -t filter -A INPUT -d 127.0.0.1 -j ACCEPT
iptables -t filter -A OUTPUT -s 127.0.0.1 -j ACCEPT
# инет через сквид
# вроде не верно
#iptables -t nat -A PREROUTING -i eth0 -d 0.0.0.0/0 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.105.10:3128
#iptables -A PREROUTING -d ! 192.168.105.0/255.255.255.0 -i eth0 -p tcp -m multiport --dports 80,8080 -j DNAT --to-destination 192.168.105.10:3128
# а так вроде нормально
iptables -t nat -A PREROUTING -s 192.168.105.0/24 -i eth0 -p tcp -m multiport --dport 80 -j REDIRECT --to-port 3128
# но что то не пашет всё равно
# не откликаться на пинги
# iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
# разруливаем icmp
iptables -t filter -A INPUT -p icmp -j ACCEPT
iptables -t filter -A OUTPUT -p icmp -j ACCEPT
iptables -t filter -A INPUT -p tcp --sport 67 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 67 -j ACCEPT
iptables -t filter -A INPUT -p udp --sport 67 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 67 -j ACCEPT
iptables -t filter -A INPUT -p tcp --sport 53 -j ACCEPT
#iptables -t filter -A FORWARD -p tcp --sport 53 -j ACCEPT
#iptables -t filter -A FORWARD -p tcp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p udp --sport 53 -j ACCEPT
#iptables -t filter -A FORWARD -p udp --sport 53 -j ACCEPT
#iptables -t filter -A FORWARD -p udp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
iptables -t filter -A INPUT -i eth0 -p tcp -m tcp --dport 3128 -j ACCEPT
iptables -t filter -A INPUT -i eth0 -p tcp -m tcp --dport 4111 -j ACCEPT
iptables -t filter -A INPUT -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
iptables -t filter -A INPUT -i eth0 -p tcp -m tcp --dport 631 -j ACCEPT
iptables -t filter -A INPUT -i eth0 -p udp -m udp --dport 631 -j ACCEPT
iptables -t filter -A INPUT -i eth0 -p tcp -m tcp --dport 135:139 -j ACCEPT
iptables -t filter -A INPUT -i eth0 -p tcp -m tcp --dport 445 -j ACCEPT
iptables -t filter -A INPUT -i eth0 -p udp -m udp --dport 135:139 -j ACCEPT
iptables -t filter -A INPUT -i eth0 -p udp -m udp --dport 445 -j ACCEPT
# тут пускаешь организмов ходит через роутер
#iptables -t filter -A INPUT -s <IP> -j ACCEPT
#iptables -t filter -A FORWARD -s <IP> -j ACCEPT
#iptables -t filter -A FORWARD -d <IP> -j ACCEPT
#iptables -t filter -A OUTPUT -d <IP> -j ACCEPT
iptables -t filter -A FORWARD -s 192.168.105.1 -j ACCEPT
iptables -t filter -A FORWARD -d 192.168.105.1 -j ACCEPT
iptables -t filter -A FORWARD -s 192.168.105.2 -j ACCEPT
iptables -t filter -A FORWARD -d 192.168.105.2 -j ACCEPT
iptables -t filter -A FORWARD -s 192.168.105.3 -j ACCEPT
iptables -t filter -A FORWARD -d 192.168.105.3 -j ACCEPT
iptables -t filter -A FORWARD -s 192.168.105.5 -j ACCEPT
iptables -t filter -A FORWARD -d 192.168.105.5 -j ACCEPT
# **********
# хрен знает зачем, в справке посмотреть---
# httpd_accel_host virtual
# httpd_accel_port 80
# httpd_accel_with_proxy on
# httpd_accel_uses_host_header on
# nonhierarchical_direct off
# а самое главное, хрен знает куда!
# **********
# инет так:
iptables -t nat -A POSTROUTING -d 0.0.0.0/0 -j MASQUERADE
# или так:
#iptables -t nat -A POSTROUTING -p all -o $world_interface -j MASQUERADE
#iptables -t nat -A POSTROUTING -p all -o $dsv_interface -j MASQUERADE
iptables -A INPUT -p tcp -m state --state NEW -j DROP
# пробрасываем порт
#iptables -t nat -A PREROUTING -p tcp -i $world_interface --dport 55555 -j DNAT --to <IP>:55555
#iptables -t nat -A PREROUTING -p udp -i $world_interface --dport 55555 -j DNAT --to <IP>:55555
# форвард портов
#iptables -t nat -A PREROUTING -p tcp -i $world_interface --dport 58599 -j DNAT --to 192.168.105.1:58599
#iptables -t nat -A PREROUTING -p tcp -i $world_interface --dport 58598 -j DNAT --to 192.168.105.1:58598
#iptables -t nat -A PREROUTING -p tcp -i $world_interface --dport 58600 -j DNAT --to 192.168.105.1:58600
#iptables -t nat -A PREROUTING -p tcp -i $world_interface --dport 12000 -j DNAT --to 192.168.105.1:12000
#iptables -t nat -A PREROUTING -p tcp -i $world_interface --dport 12001 -j DNAT --to 192.168.105.1:12001
#iptables -t nat -A PREROUTING -p tcp -i $world_interface --dport 12002 -j DNAT --to 192.168.105.1:12002
#iptables -t nat -A PREROUTING -p udp -i $world_interface -m multiport --dport 55555 -j DNAT --to 192.168.105.1:55555
#iptables -t nat -A PREROUTING -p udp -i $world_interface -m multiport --dport 55555:60000 -j DNAT --to 192.168.105.1:55555-60000
# без этого вообще не пашет - надо смотреть что там такое, какие именно порты...
iptables -t filter -A OUTPUT -o eth0 -j ACCEPT
iptables -t filter -A INPUT -i eth0 -j ACCEPT
#хреново, но ладно
iptables -t filter -A OUTPUT -o ppp0 -j ACCEPT
iptables -t filter -A INPUT -i ppp0 -p tcp -m multiport --dport 1:1024,3128,8080,10000 -j DROP
iptables -t filter -A INPUT -i ppp0 -p udp -m multiport --dport 1:1024,3128,8080,10000 -j DROP
iptables -t filter -A INPUT -i ppp0 -j ACCEPT
# конец
dhcpd.conf
читать дальше »
Код:
ddns-update-style none;
default-lease-time 10800;
max-lease-time 21600;
log-facility local7;
# выше параметры по умолчанию
# ниже моё, но прочериь нужно всё.
option domain-name "portonet";
option broadcast-address 192.168.105.255;
option subnet-mask 255.255.255.0;
option netbios-name-servers 192.168.105.10;
option netbios-dd-server 192.168.105.10;
option netbios-node-type 8;
subnet 192.168.105.0 netmask 255.255.255.0
{
range 192.168.105.12 192.168.105.100;
}
group
{
option domain-name-servers 192.168.105.10;
option routers 192.168.105.10;
host mrfree-desktop {
hardware ethernet 00:E0:4C:0A:B3:D2;
fixed-address 192.168.105.1;
option host-name "mrfree-desktop";
}
host maria {
hardware ethernet 00:17:31:6C:28:18;
fixed-address 192.168.105.5;
option host-name "maria";
}
host sasha {
hardware ethernet 00:16:EC:88:2E:FE;
fixed-address 192.168.105.2 ;
option host-name "sasha";
}
host nikita {
hardware ethernet 00:0F:EA:A0:61:95;
fixed-address 192.168.105.3;
option host-name "nikita";
}
} # end group
читать дальше »
Код:
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 # https
acl SSL_ports port 5222 # XMPP
acl SSL_ports port 5223 # XMPP/SSL-deprecated
acl SSL_ports port 563 # snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
#Recommended minimum configuration:
#
# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager
# Only allow purge requests from localhost
http_access allow purge localhost
http_access deny purge
# Deny requests to unknown ports
http_access deny !Safe_ports
# Deny CONNECT to other than SSL ports
http_access deny CONNECT !SSL_ports
#
# We strongly recommend the following be uncommented to protect innocent
# web applications running on the proxy server who think the only
# one who can access services on "localhost" is a local user
#http_access deny to_localhost
#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
# Example rule allowing access from your local networks. Adapt
# to list your (internal) IP networks from where browsing should
# be allowed
#acl our_networks src 192.168.1.0/24 192.168.2.0/24
#http_access allow our_networks
acl our_networks src 192.168.105.1 192.168.105.2 192.168.105.3 192.168.105.5
http_access allow our_networks
http_access allow localhost
#http_access allow password
# And finally deny all other access to this proxy
http_access deny all
icp_access deny all
# Squid normally listens to port 3128
http_port 3128 transparent
#We recommend you to use at least the following line.
hierarchy_stoplist cgi-bin ?
cache_dir ufs /var/spool/squid 1024 16 256
access_log /var/log/squid/access.log squid
#We recommend you to use the following two lines.
acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY
#Suggested default:
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
# Apache mod_gzip and mod_deflate known to be broken so don't trust
# Apache to signal ETag correctly on such responses
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
visible_hostname proxy.portonet
hosts_file /etc/hosts
coredump_dir /var/spool/squid
redirect_program /usr/bin/adzapper.wrapper
|
Время: 11:26.
© OSzone.net 2001-