URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 69665
[ Назад ]

Исходное сообщение
"правило для iptables (запрет выхода(!) на 80-й порт)"
Отправлено konst , 18-Окт-06 23:30

подскажите, пожалуйста, правило для iptables, запрещающее локальному компьютеру (самому) стучаться на удаленные машины по 80-му порту! Возможно ли это?!
----
Суть задачи: на домашн.компе - squid. Хочу чтобы все выходящие в инет с этой машины ходили только через squid...

Содержание

правило для iptables (запрет выхода(!) на 80-й порт),konst, 00:42 , 19-Окт-06
- правило для iptables (запрет выхода(!) на 80-й порт),_KAV_, 00:55 , 19-Окт-06
  - правило для iptables (запрет выхода(!) на 80-й порт),konst, 03:24 , 19-Окт-06
    - правило для iptables (запрет выхода(!) на 80-й порт),reader, 10:20 , 19-Окт-06
      - правило для iptables (запрет выхода(!) на 80-й порт),konst, 15:45 , 19-Окт-06
        
        правило для iptables (запрет выхода(!) на 80-й порт),PavelR, 16:29 , 19-Окт-06
        
        правило для iptables (запрет выхода(!) на 80-й порт),konst, 18:00 , 19-Окт-06

Сообщения в этом обсуждении

"правило для iptables (запрет выхода(!) на 80-й порт)"
Отправлено konst , 19-Окт-06 00:42

с выходом на 80-й порт разобрался, но как вижу по netstat этого мало...
Теперь задача звучит так: заставить squid соединяться с 80-м портом, используя у себя определенный зарезервированный диапазон портов:
netstat -ne |grep -v unix |grep :80
tcp 0 0 10.10.10.10:34834 192.168.10.10:80 TIME_WAIT 0
------------------------------^^^^^^

"правило для iptables (запрет выхода(!) на 80-й порт)"
Отправлено _KAV_ , 19-Окт-06 00:55

См. в этой же конференции transparent proxy - и все будет ок

"правило для iptables (запрет выхода(!) на 80-й порт)"
Отправлено konst , 19-Окт-06 03:24

>См. в этой же конференции transparent proxy - и все будет ок
>
???
Я уже много часов убил на поиски ответов - ни фига нужного не нашел:
Как я понимаю squid здесь не причем: если человек в браузере отключает proxy - он идет мимо proxy...
Стало быть только iptables, но Все правила, что я нашел в инете не подходят. Проблема в том, что и squid и браузер находятся на одной и той же машине.
e.g.:
iptables -t nat -A PREROUTING -p tcp -s <my_ip> -d 0/0 --dport 80 -j DNAT --to-destination 127.0.0.1:3128
отрабатывают, но iptables -L - ничего не показывает по этому поводу... и выход в инет происходит без прокси

"правило для iptables (запрет выхода(!) на 80-й порт)"
Отправлено reader , 19-Окт-06 10:20

iptables -t nat -A PREROUTING -p tcp -s <my_ip> -d 0/0 --dport 80 -j DNAT --to-destination 127.0.0.1:3128
какой же PREROUTING для исходящих локальных пакетов?
iptables -t nat -A OUTPUT -p tcp --dport 80 -j DNAT --to-destination 127.0.0.1:3128

"правило для iptables (запрет выхода(!) на 80-й порт)"
Отправлено konst , 19-Окт-06 15:45

>iptables -t nat -A PREROUTING -p tcp -s <my_ip> -d 0/0 --dport 80 -j DNAT --to-destination 127.0.0.1:3128
>
>какой же PREROUTING для исходящих локальных пакетов?
>
>iptables -t nat -A OUTPUT -p tcp --dport 80 -j DNAT --to-destination
>127.0.0.1:3128
я дошел и до этого. Но это правило просто блокирует все выходы на 80-й порт. А мне надо, чтобы сквид-то мог ходить.
iptable,squid, браузер - на ОДНОЙ МАШИНЕ...

"правило для iptables (запрет выхода(!) на 80-й порт)"
Отправлено PavelR , 19-Окт-06 16:29

>на 80-й порт. А мне надо, чтобы сквид-то мог ходить.
>iptable,squid, браузер - на ОДНОЙ МАШИНЕ...

они запускаются различными пользователями, вот и исходи из этого, что пользователю сквид - можно идти, а другим пользователям нельзя.

"правило для iptables (запрет выхода(!) на 80-й порт)"
Отправлено konst , 19-Окт-06 18:00

>
>>на 80-й порт. А мне надо, чтобы сквид-то мог ходить.
>>iptable,squid, браузер - на ОДНОЙ МАШИНЕ...
>
>
>они запускаются различными пользователями, вот и исходи из этого, что пользователю сквид
>- можно идти, а другим пользователям нельзя.

+!!! Спасибо