Необходимо настроить доступ в интернет только на "белые" сайты.
Есть рабочая станция с linux mint.
Ставим на ней squid, настраиваем, в браузере прописываем прокси.
Теперь доступ только на "белые" сайты.Но если пользователь в браузере уберет прокси?
Если закрыть 80-й порт
iptables -A OUTPUT -p TCP --dport 80 -j DROP
то даже через прокси в инет не выйдешь...Возможно ли разрешить 80-й порт только для squid-а?
> Необходимо настроить доступ в интернет только на "белые" сайты.
> Есть рабочая станция с linux mint.
> Ставим на ней squid, настраиваем, в браузере прописываем прокси.
> Теперь доступ только на "белые" сайты.
> Но если пользователь в браузере уберет прокси?
> Если закрыть 80-й порт
> iptables -A OUTPUT -p TCP --dport 80 -j DROP
> то даже через прокси в инет не выйдешь...
> Возможно ли разрешить 80-й порт только для squid-а?Можно использовать owner в iptables.
1. Прокси сделать прозрачным, например на порту 3128.
2. Весь трафик, идущий на 80 порт редиректить в порт прокси 3128.
3. Прокси должен работать от своего какого-нибудь имени
4. В iptables разрешить выход на 80 порт только для пользователя, от которого работает прокси.чего-нить типа такого:
iptables -t nat -A OUTPUT -p tcp --dport 80 -j REDIRECT --to-ports 3128
iptables -t nat -A OUTPUT -p tcp --dport 80 -m owner --uid-owner squid -j ACCEPT
Вам нужно это: http://www.opennet.me/docs/HOWTO-RU/mini/TransparentProxy.html
> Необходимо настроить доступ в интернет только на "белые" сайты.
> Есть рабочая станция с linux mint.
> Ставим на ней squid, настраиваем, в браузере прописываем прокси.
> Теперь доступ только на "белые" сайты.
> Но если пользователь в браузере уберет прокси?
> Если закрыть 80-й порт
> iptables -A OUTPUT -p TCP --dport 80 -j DROP
> то даже через прокси в инет не выйдешь...
> Возможно ли разрешить 80-й порт только для squid-а?Сама машина и выступает в качестве шлюза?
Если локальная сеть, в которой компьютер 192.168.1.0/24,IPT="/sbin/iptables"
IF_INT="eth1"$IPT -t nat -A PREROUTING -i $IF_INT -p tcp ! -d 192.168.1.0/24 --dport 80 -j REDIRECT --to-port 3128
$IPT -t nat -A PREROUTING -i $IF_INT -p tcp ! -d 192.168.1.0/24 --dport 8080 -j REDIRECT --to-port 3128
> Необходимо настроить доступ в интернет только на "белые" сайты.
> Есть рабочая станция с linux mint.
> Ставим на ней squid, настраиваем, в браузере прописываем прокси.
> Теперь доступ только на "белые" сайты.
> Но если пользователь в браузере уберет прокси?
> Если закрыть 80-й порт
> iptables -A OUTPUT -p TCP --dport 80 -j DROP
> то даже через прокси в инет не выйдешь...
> Возможно ли разрешить 80-й порт только для squid-а?Запрещаешь на роутере FORWARD 80 порта.