Comments | ru_root: Не могу понять как пользователь лезет в инет через левый прокси

korp_mac in ru_root

Не могу понять как пользователь лезет в инет через левый прокси

Nov 08, 2013 11:45

Досталась мне тут поляна...
Имеется настроенный squid, всё работает гуд, но тут вижу что есть индивидуум, который прописал себе в браузере левый прокси и спокойно ходит в инет, а я не могу понять - как он в инет то тогда выходит? Когда то был nat, но давно прикрыли это дело, оставив только для избранных
[iptables forward]-A FORWARD -s 10.15.2.123/32 -p tcp --dport ( Read more... )

iptables

Comments 18

aktula November 8 2013, 08:09:34 UTC

так у Вас дропаются только на 80 порт. а остальные все в дефоле при таком раскладе. а дефолт какой? разрешено?
прокси же не на 80-том порту живет, вот оно мимо указанного тут дропа и пролезает
правильные правила должны заканчиваться
-A FORWARD -j REJECT
всй что явно перед этим не разрешено - запрещается.
а тут - немножко разрешили, немножко запретили... а остальное?

korp_mac November 8 2013, 08:23:23 UTC

ммм, если я в конце указываю -A FORWARD -j REJECT то у меня отваливается инет у тех, кому разрешён доступ через НАТ

sa_chernomor November 8 2013, 08:38:00 UTC

Пропишите избранным ACCEPT перед -A FORWARD -j REJECT

aktula November 8 2013, 08:38:48 UTC

Так разреши им его. персонально перед дропом
-A FORWARD -s X.X.X.X -j ACCEPT

а иначе у тебя получается решето наоборот.

да... и не забуд пропускать пакеты обратно

-A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
иначе по разрешению пакет наружу уйдет, а ответ обратно не вернется

Thread 6

ext_229571 November 8 2013, 08:37:28 UTC

> ip негодника 10.15.1.43

> -A FORWARD -s 10.15.1.0/24 -p tcp --dport 80 -j ACCEPT

Т.е. ты ему явно разрешил ходить мимо себя на 80 порт, да?

korp_mac November 8 2013, 08:48:50 UTC

Вся эта красота досталась мне в наследство, а я, к сожалению, в iptables не очень силён, по тому и спрашиваю у умных людей. На самом деле тут есть 2 правила, без которых через проксю ничего не работает (прокся 10.15.1.120)
-A FORWARD -s 10.15.1.0/24 -p tcp --dport 80 -j ACCEPT
и
-A FORWARD -s 10.15.0.0/16 -p tcp --dport 80 -j REJECT --reject-with icmp-host-unreachable
как связано что инет падает при отключении второго правила - я вообще не догоняю

ext_229571 November 8 2013, 08:50:06 UTC

Я тоже плохо понимаю, как у тебя работает, но если у тебя вся сеть 10.15.1.0/24 разрешена, то чего ж ты хотел :)

Давай полностью конфиг - iptables целиком, где и как настроен squid?

korp_mac November 8 2013, 08:55:55 UTC

*filter ( ... )

Thread 6

qvic November 8 2013, 11:12:14 UTC

Совет на будущее: если правила iptables вызывают затруднения, то откройте для себя http://www.shorewall.net/

01petr November 8 2013, 12:38:35 UTC

без понимания принципов как это работает - результат будет такой же.
проще разобраться в iptables

qvic November 8 2013, 18:18:09 UTC

Ошибаетесь. Иначе, shorewall не появился бы на свет и не развивался бы.
Он сильно упрощает настройку и последующее поддержание fw

(The comment has been removed)

_oxpa_ November 8 2013, 14:13:35 UTC

плюсую только ссылку.
Сначала надо понять, что настраиваешь (тем более, что оно простое), а потом всё остальное.

grumbler_eburg November 9 2013, 23:05:53 UTC

1.

$ grep -i proxy /etc/services
socks 1080/tcp # socks proxy server
socks 1080/udp # socks proxy server
trnsprntproxy 3346/tcp # Trnsprnt Proxy
trnsprntproxy 3346/udp # Trnsprnt Proxy
squid 3128/tcp # squid web proxy
tircproxy 7666/tcp # Tircproxy
tproxy 8081/tcp # Transparent Proxy
tproxy 8081/udp # Transparent Proxy

- ВНЕЗАПНО тут нет порта 80, который и только который запрещён в твоём iptables

2. В iptables не вижу правил таблицы nat. Наверняка там стоит что-то вроде -A POSTROUTE -o eth1 -j MASQUARADE, тогда как должно быть исключительно для конкретных адресов.