URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 5206
[ Назад ]

Исходное сообщение
"Возможно ли в iptables разрешить доступ только для squid?"

Отправлено Dmitry943 , 19-Ноя-13 11:15 
Необходимо настроить доступ в интернет только на "белые" сайты.
Есть рабочая станция с linux mint.
Ставим на ней squid, настраиваем, в браузере прописываем прокси.
Теперь доступ только на "белые" сайты.

Но если пользователь в браузере уберет прокси?

Если закрыть 80-й порт
iptables -A OUTPUT -p TCP --dport 80 -j DROP
то даже через прокси в инет не выйдешь...

Возможно ли разрешить 80-й порт только для squid-а?


Содержание

Сообщения в этом обсуждении
"Возможно ли в iptables разрешить доступ только для squid?"
Отправлено dispay666 , 19-Ноя-13 11:49 
> Необходимо настроить доступ в интернет только на "белые" сайты.
> Есть рабочая станция с linux mint.
> Ставим на ней squid, настраиваем, в браузере прописываем прокси.
> Теперь доступ только на "белые" сайты.
> Но если пользователь в браузере уберет прокси?
> Если закрыть 80-й порт
> iptables -A OUTPUT -p TCP --dport 80 -j DROP
> то даже через прокси в инет не выйдешь...
> Возможно ли разрешить 80-й порт только для squid-а?

Можно использовать owner в iptables.
1. Прокси сделать прозрачным, например на порту 3128.
2. Весь трафик, идущий на 80 порт редиректить в порт прокси 3128.
3. Прокси должен работать от своего какого-нибудь имени
4. В iptables разрешить выход на 80 порт только для пользователя, от которого работает прокси.

чего-нить типа такого:
iptables -t nat -A OUTPUT -p tcp --dport 80 -j REDIRECT --to-ports 3128
iptables -t nat -A OUTPUT -p tcp --dport 80 -m owner --uid-owner squid -j ACCEPT




"Возможно ли в iptables разрешить доступ только для squid?"
Отправлено stereoPANDA , 19-Ноя-13 11:52 
Вам нужно это: http://www.opennet.me/docs/HOWTO-RU/mini/TransparentProxy.html

"Возможно ли в iptables разрешить доступ только для squid?"
Отправлено ALex_hha , 02-Янв-14 02:24 
> Необходимо настроить доступ в интернет только на "белые" сайты.
> Есть рабочая станция с linux mint.
> Ставим на ней squid, настраиваем, в браузере прописываем прокси.
> Теперь доступ только на "белые" сайты.
> Но если пользователь в браузере уберет прокси?
> Если закрыть 80-й порт
> iptables -A OUTPUT -p TCP --dport 80 -j DROP
> то даже через прокси в инет не выйдешь...
> Возможно ли разрешить 80-й порт только для squid-а?

Сама машина и выступает в качестве шлюза?


"Возможно ли в iptables разрешить доступ только для squid?"
Отправлено billybons2006 , 11-Апр-14 15:19 
Если локальная сеть, в которой компьютер 192.168.1.0/24,

IPT="/sbin/iptables"
IF_INT="eth1"

$IPT -t nat -A PREROUTING -i $IF_INT -p tcp ! -d 192.168.1.0/24 --dport 80   -j REDIRECT --to-port 3128
$IPT -t nat -A PREROUTING -i $IF_INT -p tcp ! -d 192.168.1.0/24 --dport 8080 -j REDIRECT --to-port 3128


"Возможно ли в iptables разрешить доступ только для squid?"
Отправлено Влад , 05-Июн-14 21:40 
> Необходимо настроить доступ в интернет только на "белые" сайты.
> Есть рабочая станция с linux mint.
> Ставим на ней squid, настраиваем, в браузере прописываем прокси.
> Теперь доступ только на "белые" сайты.
> Но если пользователь в браузере уберет прокси?
> Если закрыть 80-й порт
> iptables -A OUTPUT -p TCP --dport 80 -j DROP
> то даже через прокси в инет не выйдешь...
> Возможно ли разрешить 80-й порт только для squid-а?

Запрещаешь на роутере FORWARD 80 порта.