|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Tema Zelikin 2:5030/1081.500 02 Apr 2005 00:43:51
To : Alexander Pechenin
Subject : Re: Завернуть запросы по порту 80 (Transperent proxy)
--------------------------------------------------------------------------------
>> > Пакеты, как видно, какие-то минимальные бегают, но на SQUID ничего не
>> > попадает, в его логе нет никаких записей о попытках обращения от
>> > пользователей Dial-up-а. Кстати, какой адрес там должен будет
>> фигурировать,
>> > 192.168.0.х или реальный IP машины с Dial-up?
>> если на машине с диалапом используешь NAT, то реальный адрес машины с
>> диалапом, а если нет, то 192.168.....
AP> Да, используется natd.
AP> Так что по проблеме, сделать задуманное так и не получилось ведь :-\
пример.
машина с dial-up, прокси на ней же.
внешний интерфейс - tun0, внутренний - ep0.
внутренняя сеть - 192.168.189.0/24.
===
# localhost
00050 22588 7512588 allow ip from any to any via lo0
00051 0 0 deny ip from any to 127.0.0.0/8
00052 0 0 deny ip from 127.0.0.0/8 to any
# защита от спуфинга
00210 0 0 reject ip from 192.168.189.0/24 to any in recv tun0
# отшибаем входящие коннекты по tun0
00220 19 920 reject ip from any to me in recv tun0 setup
# разрешаем icmp, кроме типов 5,9,13,14,15,16,17
00230 20 1388 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17
00240 228 15826 allow icmp from any to any
# разрешаем ssh
01000 18211 1330368 allow tcp from any to me 22
01000 21255 1600732 allow tcp from me 22 to any established
# здесь я удалил штук 20 правил, там разрешаются входящие коннекты на
# сервисы, работающие на этой же машине.
# разрешаем пакеты от локальной сети в инет.
15000 166 28823 allow ip from 192.168.189.0/24 to not me via ep0
15000 128 46359 allow ip from not me to 192.168.189.0/24 via ep0
# форвард на локальный прокси
# out xmit tun0 - это чтобы он локальный вебсервер через прокси не гонял.
16000 9 516 fwd 127.0.0.1,3128 tcp from 192.168.189.0/24 to any
80,443,8080 out xmit tun0
# natd и счетчик.
20000 25837 1734432 divert 8668 ip from any to any out xmit tun0
20000 25725 28383120 divert 8668 ip from any to any in recv tun0
20100 25837 1734432 count ip from any to any out xmit tun0
20100 25725 28383120 count ip from any to any in recv tun0
# клиентские машины.
21000 25837 1734432 allow ip from 192.168.189.2 to any out xmit tun0
21000 25603 28337009 allow ip from any to 192.168.189.2 in recv tun0
22000 0 0 allow ip from 192.168.189.1 to any out xmit tun0
22000 122 46111 allow ip from any to 192.168.189.1 in recv tun0
# лог всех отщибленных пакетов.
65000 0 0 deny log logamount 100 ip from any to any
65535 0 0 deny ip from any to any
===
что-то неясно?
--
With best regards, Тема Зеликин. E-mail: gunslinger@ukhta.net
GPG: FP 8390 54AD 6FA6 C518 EC45 6C84 86E3 1CCA 61EC DA42, ID 0x61ECDA42.
[Nightwish][Blackmore's Night][JA2][TTD][PC][PoL][FreeBSD][фидошка телнетом]
np: Blackmore's Night - Magical World
--- tin/1.7.7-20041215 ("Scalpay") (UNIX) (FreeBSD/4.11-RELEASE-p1 (i386))
* Origin: ..Save us, we are the future.. (c) Stratovarius (2:5030/1081.500)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
